خطاهای امنیتی مؤثر بر VMware و EMC به مهاجمان اجازه دسترسی غیرمجاز به سامانه میدهد.
یک آسیبپذیری در EMC Data Domain OS گزارش شدهاست که مهاجمان میتوانند با استفاده از آن سامانه آلوده را به خطر بیندازند.
EMC Data Domain OS سامانه عاملی است که روی واحدهای پشتیبانی دیسک اجرا میشود. این آسیبپذیری به خرابکاران اجازه میدهد که بهعنوان یکی از کاربران مجاز وارد سامانه شده و به اطلاعات وی دسترسی یابند.
طبق اطلاعیهای که توسط EMC منتشر شدهاست، دامنه اطلاعات از طریق GUI، شناسه جلسه کاربری را وارد یک پرونده میکند که در دسترس همه کاربران قرار دارد. مهاجم میتواند با استفاده از شناسه جلسه، کنترل حساب قربانی را بهدست بگیرد.
EMC بهروزرسانی امنیتی برای نسخه ۵.۵ و ۵.۶ و ۵.۷ EMC Data Domain OS را منتشر کردهاست. طبق توصیهنامه VMSA-۲۰۱۶-۰۰۰۷، بهروزرسانیهای محصولات VMware و vCNS آسیبپذیری نرمافزار VMware را وصله میکند.
همانطور که این شرکت در توصیهنامهاش ذکر کردهاست، مهاجم میتواند با استفاده از این آسیبپذیری به اطلاعات حساس کاربران دسترسی یابد.
در این توصیهنامه آمده: « VMware NSX و vCNS با SSL-VPN حاوی یک آسیبپذیری حیاتی در تایید ورودی است. این خطا میتواند به مهاجم اجازه دسترسی به اطلاعات حساس را بدهد».
VMware وصلههای امنیتی را برای NSX Edge نسخه ۶.۱ و ۶.۲ و vCNS Edge نسخه ۵.۵ منتشر کردهاست.
مدیران VMware نیز آسیبپذیری بحرانی تزریق اسکریپت میان وبگاهی دیگری در VMware vRealize Log Insight پیدا کردند که VMSA-۲۰۱۶-۰۰۰۸ نام گرفت.
مهاجمان از این حفره برای سوءاستفاده از جلسه یک کاربر معتبر استفادهمیکنند. این توصیهنامه امنیتی از مدیران میخواهد که با استفاده از نسخههای ۲.x و ۳.x وصلههای موجود را بهکار گیرند.