[Warning] Kritische Sicherheitslücken in VMware Workspace ONE - Updates verfügbar
Thomas Pribitzer
pribitzer at cert.at
Wed Nov 9 11:25:07 CET 2022
09. November 2022
Beschreibung
VMware hat Updates für drei kritische Authentication Bypass
Sicherheitslücken im Remote-Access-Tool VMware Workspace ONE veröffentlicht.
CVE-Nummer(n): CVE-2022-31685, CVE-2022-31686, CVE-2022-31687
CVSS Base Score: 9.8
Auswirkungen
Entfernte, anonyme Angreifer:innen können die Authentifizierung in
erreichbaren VMware Workspace ONE Instanzen umgehen und
Administratorrechte auf den betroffenen Systemen erlangen.
Betroffene Systeme
* VMware Workspace ONE 21.x, 22.x (Windows)
Abhilfe
Es existieren keine Workarounds, die einzige Abhilfe ist ein Upgrade auf
Version 22.10. Diese Version schließt zugleich auch die
Sicherheitslücken CVE-2022-31688 (CVSS 6.4) und CVE-2022-31689 (CVSS 4.2).
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
-----------------------------------------------------------------------
Informationsquelle(n):
VMware Security Advisory (Englisch)
https://www.vmware.com/security/advisories/VMSA-2022-0028.html
Artikel bei Bleeping Computer
https://www.bleepingcomputer.com/news/security/vmware-fixes-three-critical-auth-bypass-bugs-in-remote-access-tool/
-----------------------------------------------------------------------
--
// Thomas Pribitzer <pribitzer at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20221109/f9c6672d/attachment.sig>
More information about the Warning
mailing list