БДУ - Уязвимости

BDU:2023-00571: Уязвимость гипервизора VMware Workstation связана с ошибками разграничения доступа, позволяющая нарушителю удалить произвольные файлы в корневой операционной системе

Описание уязвимости	Уязвимость гипервизора VMware Workstation связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю удалить произвольные файлы в корневой операционной системе
Вендор	VMware Inc.
Наименование ПО	VMWare Workstation
Версия ПО	до 17.0.1
Тип ПО	ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Неправильный контроль доступа
Идентификатор типа ошибки	CWE-284
Класс уязвимости	Уязвимость кода
Дата выявления	02.02.2023
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C CVSS 3.0: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей корневой операционной системы; - минимизация пользовательских привилегий. Источники информации: https://www.vmware.com/security/advisories/VMSA-2023-0003.html
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.vmware.com/security/advisories/VMSA-2023-0003.html
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-20854 VMSA: VMSA-2023-0003
Прочая информация	Данные уточняются

Последние изменения

20.03.2023 Уязвимость службы Bluetooth операционных систем Windows, позволяющая нарушителю выполнить произвольный код
20.03.2023 Уязвимость средства управления доступом к сети Fortinet FortiNAC, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
20.03.2023 Уязвимость технологии виртуализации Virtual Domains (VDOM) операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю повысить свои привилегии
20.03.2023 Уязвимость средства отслеживания и анализа событий безопасности FortiAnalyzer, связанная с отсутствием нейтрализации элементов для файлов CSV, позволяющая нарушителю выполнить произвольный код
20.03.2023 Уязвимость микропрограммного обеспечения устройства системы видеонаблюдения FortiRecorder, позволяющая нарушителю вызвать отказ в обслуживании
20.03.2023 Уязвимость интерпретатора командной строки межсетевого экрана веб-приложений FortiWeb и устройства системы видеонаблюдения FortiRecorder, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
20.03.2023 Уязвимость системы идентификации FortiAuthenticator, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю вызвать отказ в обслуживании
20.03.2023 Уязвимость средства выявления и принятия мер реагирования на внешние и внутренние угрозы безопасности Fortinet FortiDeceptor, связанная с недостаточным ограничением попыток аутентификации, позволяющая нарушителю вызвать отказ в обслуживании
20.03.2023 Уязвимость ядра операционных систем Windows, позволяющая нарушителю повысить свои привилегии
20.03.2023 Уязвимость программного средства для планирования ресурсов Microsoft Dynamics 365, связанная с недостаточной защитой структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарнын атаки

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»