В конце апреля 2021 года VMware издала первый патч к весьма знаковому обновлению компонентов нашей vSphere – 7.0U2, о котором мы писали в соответствующей новости (если пропустили выход главной версии – информацию о ней получить можно здесь). А 25 мая объявили о следующем – 7.0U2b, концентрирующемся на исправлении проблем безопасности.
Ниже мы дадим быструю ссылку на скачивание самой свежей версии этого патча с целью эффективного апдейта своей системы, а также расскажем, что именно было в нем поправлено и для чего.
Актуальный билд
С этого момента актуальным считается билд за номером 17958471 нашего vCenter Server 7.0U2b, выкачать который можно, по традиции отсюда.
Устраненные проблемы
Ошибок исправлено всего две, однако серьезности им не занимать. Собственно, вот и они:
- HTML5-клиент vSphere содержал уязвимость класса удаленного выполнения кода по причине недостатка валидации ввода в плагине хелс-чека vSAN. Злоумышленник с доступом к 443-порту по сети мог воспользоваться этой уязвимостью, чтобы запустить команды под неразрешенными привилегиями на подлежащей операционной системе, хостящей vCenter Server;
- HTML5-клиент vSphere содержал уязвимость в механизме аутентификации vSphere для хелс-чека vSAN и плагинов Site Recovery, vSphere Lifecycle Manager, а также VMware Cloud Director Availability Client. С доступом по сети к тому же порту 443 злоумышленник мог производить действия, позволенные этими плагинами без какой бы то ни было аутентификации.
Напоминаем, обстоятельный гайд по вопросам обновления vCenter Server до 7.0U2x можно найти здесь. А за всеми остальными новостями о выходе новых версий и патчей предлагаем следить в разделе «News 2021» нашего блога.