Das Update behebt folgende Schwachstellen:
VMware vCenter Server heap-overflow vulnerability (CVE-2024-38812)
Der vCenter Server weist eine Heap-Overflow-Sicherheitslücke in der Implementierung des DCERPC-Protokolls auf. VMware hat den Schweregrad dieses Problems als kritisch eingestuft, mit einem maximalen CVSSv3-Basiswert von 9,8. Ein böswilliger Akteur mit Netzwerkzugriff auf vCenter Server kann diese Sicherheitslücke auslösen, indem er ein speziell gestaltetes Netzwerkpaket sendet, das möglicherweise zur Remotecodeausführung führt.
VMware vCenter privilege escalation vulnerability (CVE-2024-38813)
Der vCenter Server weist eine Sicherheitslücke bei der Rechteausweitung auf. VMware hat den Schweregrad dieses Problems als „wichtig“ eingestuft, mit einem maximalen CVSSv3-Basiswert von 7,5. Ein böswilliger Akteur mit Netzwerkzugriff auf vCenter Server kann diese Sicherheitslücke ausnutzen, um durch das Senden eines speziell gestalteten Netzwerkpakets die Rechte auf Root-Benutzer auszuweiten.
Klassifizierung
CVE-2024-38812
CVSS 3.0: 9.8
Attack Vector: Network
Impact: Remote Code exection
Update zum 21.10.2024:
IMPORTANT: VMware by Broadcom has determined that the vCenter patches released on September 17, 2024 did not fully address CVE-2024-38812. All customers are strongly encouraged to apply the patches currently listed in the Response Matrix. Additionally, patches for 8.0 U2 line are also available.
CVE-2024-38813
CVSS 3.0: 7.5
Attack Vector: Network
Impact: User Right extension
Betroffene Versionen
VMware Product | Version | Running On | CVE | CVSSv3 | Severity | Fixed Version | Workarounds | Additional Documentation |
vCenter Server | 8.0 | Any | CVE-2024-38812, CVE-2024-38813 | 9.8, 7.5 | Critical | 8.0 U3d | None | FAQ |
vCenter Server | 8.0 | Any | CVE-2024-38812, CVE-2024-38813 | 9.8, 7.5 | Critical | 8.0 U2e | None | FAQ |
vCenter Server | 7.0 | Any | CVE-2024-38812, CVE-2024-38813 | 9.8, 7.5 | Critical | 7.0 U3t | None | FAQ |
VMware Cloud Foundation | 5.x | Any | CVE-2024-38812, CVE-2024-38813 | 9.8, 7.5 | Critical | Async patch to 8.0 U3d | None | Async Patching Guide: KB88287 |
VMware Cloud Foundation | 5.1.x | Any | CVE-2024-38812, CVE-2024-38813 | 9.8, 7.5 | Critical | Async patch to 8.0 U2e | None | Async Patching Guide: KB88287 |
VMware Cloud Foundation | 4.x | Any | CVE-2024-38812, CVE-2024-38813 | 9.8, 7.5 | Critical | Async patch to 7.0 U3s | None | Async Patching Guide: KB88287 |
Workarounds
Keine
Maßnahmen
Update der jeweiligen Instanzen auf einen aktuellen Release (siehe Tabelle: Betroffene Versionen)
IOCs
Keine