VMware hat eine kritische Sicherheitslücke in seiner Cloud-Plattform Cloud Director (VCD) öffentlich gemacht. Diese erlaubt es laut einem
Security-Hinweis des Unternehmens, die Authentifizierung der entsprechenden Systeme zu umgehen. Die Schwachstelle betrifft Appliances, die von einer älteren Version auf Version 10.5 aktualisiert wurden. Neuinstallationen weisen die Sicherheitslücke hingegen nicht auf.
Vmware hat den Schweregrad der Schwachstelle mit einem CVSS-Wert von 9,8 als kritisch eingestuft.
Böswillige Akteure mit Netzwerkzugriff können laut VMware die Anmeldebeschränkungen umgehen, wenn sie sich an Port 22 (ssh) oder Port 5480 (Management-Konsole der Appliance) authentifizieren. Die Umgehung an Port 443 (VCD-Anbieter- und Mandantenanmeldung) ist wiederum nicht möglich.
Noch steht für die Schwachstelle kein Patch zur Verfügung. Allerdings beschreibt VMware in einem passenden
Beitrag einen Workaround, der die Sicherheit betroffener Appliances gewährleisten soll. Das Vorgehen hat laut dem Anbieter keinen Einfluss auf die Funktionalität, setzt keinen Neustart voraus und bedingt auch keine Ausfallzeiten.
(sta)
