Vulnerabilidades en productos VMware GemFire yTanzu

Vulnerabilidades en VMware Gemfire, VMWare Tanzu GemFire, Tanzu Application Service para VMs, se informaron de forma privada a VMware. Para el momento de esta publicación ya se cuenta con parches y actualizaciones disponibles para corregir estas vulnerabilidades en los productos VMware afectados.

CVE-2019-11286 VMware GemFire

Las versiones de VMware GemFire ​​anteriores a 9.10.0, 9.9.1, 9.8.5 y 9.7.5, y VMware Tanzu GemFire ​​para versiones de VM anteriores a 1.11.0, 1.10.1, 1.9.2 y 1.8.2, contienen un Servicio JMX disponible para la red que no restringe correctamente la entrada. Un atacante autenticado de forma remota puede tomar control del servicio con un conjunto de credenciales diseñadas lo que le permitirá la ejecución remota de código.

CVE-2020-5396 VMware GemFire/Tanzu 

Las versiones de VMware GemFire ​​anteriores a 9.10.0, 9.9.2, 9.8.7 y 9.7.6, y VMware Tanzu GemFire ​​para versiones de VM anteriores a 1.11.1 y 1.10.2, cuando se implementan sin un SecurityManager, contienen un servicio JMX disponible que posee una configuración predeterminada insegura. Esto permite que un ciberatacante cree un MLet mbean que conduzca a la ejecución remota de código.

CVE-2020-5396 VMware Tanzu Servicio de aplicaciones para VMs

El Servicio de aplicaciones VMware Tanzu para máquinas virtuales (versiones 2.7.x anteriores a 2.7.19, versiones 2.8.x anteriores a 2.8.13 y versiones 2.9.x anteriores a 2.9.7) contiene un App Autoscaler que registra la contraseña de administrador de UAA. Esta credencial está redactada en VMware Tanzu Operations Manager; sin embargo, los registros no eliminados están disponibles para usuarios autenticados del Director BOSH. Esta credencial otorgaría privilegios administrativos a un usuario malintencionado. Las mismas versiones de App Autoscaler también registran la contraseña de App Autoscaler Broker. Antes de las versiones más recientes de Operations Manager, esta credencial no se borraba de los registros. Esta credencial permite a un usuario malintencionado crear, eliminar y modificar instancias de servicios de Autoescalador de aplicaciones. Operations Manager comenzó a redactar esta credencial de los registros a partir de sus versiones 2.7.15, 2.8.6 y 2.9.1. Tenga en cuenta que estos registros normalmente solo son visibles para los administradores y operadores de la fundación.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.