Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 3 (13.08.24):
Der Workaround zur Vermeidung der Schwachstelle CVE-2024-37085 wurde
ergänzt um die erforderlichen Schritte, welche für ESXi Hosts erforderlich
sind, die bereits mit der AD Domain verknüpft sind.
Version 2 (31.07.24):
Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die
Schwachstelle CVE-2024-37085 in ihren ‘Known Exploited Vulnerabilities
Catalog’ aufgenommen.
Version 1 (26.06.24):
Neues Advisory
Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um
Privilegien zu eskalieren und einen Denial-of-Service (DoS)-Angriff
durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen,
um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff
durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien
erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.
VMware informiert über die Schwachstellen und stellt die vCenter Server
Versionen 7.0 U3q und 8.0 U3 zur Behebung der Schwachstelle CVE-2024-37087,
die ESXi Version ESXi80U3-24022510 zur Behebung der Schwachstellen
CVE-2024-37085 und CVE-2024-37086 sowie die ESXi Version ESXi70U3sq-23794019
zur Behebung der Schwachstelle CVE-2024-37086 als Sicherheitsupdates bereit.
Des weiteren stellt der Hersteller einen Workaround für die Schwachstelle
CVE-2024-37085 bereit, der anbei referenziert ist.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2024-1658]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
