El 25 de Octubre de 2023, según lo informado en el reciente comunicado por parte del fabricante VMware, se han identificado dos vulnerabilidades críticas en sus productos.

Esta vulnerabilidad se clasifica como "crítica" debido a su gravedad y potencial impacto en la seguridad de los sistemas. Afortunadamente, VMware ha tomado medidas inmediatas para abordar esta vulnerabilidad y ha proporcionado detalles sobre su resolución, los cuales pueden encontrarse en el siguiente enlace: ​​VMSA-2023-0023.

Éste artículo tiene como objetivo remediar las vulnerabilidades que sufren los individuos y/o organizaciones que poseen VMware vCenter Server y VMware Cloud Foundation (VMware vCenter Server).

Las vulnerabilidades detectadas son las siguientes:

• CVE-2023-34048: Vulnerabilidad de escritura fuera de límites de VMware vCenter Server (crítica)

• CVE-2023-34056: Vulnerabilidad de divulgación parcial de información de VMware vCenter Server (crítica)

Resolución

Para remediar las vulnerabilidades expresadas anteriormente, se debe de aplicar el parche mencionado en la columna "Fixed version" de la matriz que se encuentra a continuación: 

Enlaces de referencia

• ​VMSA-2023-0023

• ​VMware vCenter Server 8.0U2

• ​VMware vCenter Server 8.0U1d

• ​VMware vCenter Server 7.0U3o

• ​Cloud Foundation 5.x/4.x

• ​CVE-2023-34048

• ​CVE-2023-34056

Glosario

¿Qué es VMSA?

  La sigla VMSA representa VMware Security Advisory y forma parte de VMWare Security Solutions. Su misión es documentar remediaciones para las vulnerabilidades de seguridad reportadas en los productos de VMware. Una vez recibido los reportes o detectadas por el fabricante, se notifican, se asigna un identificador CVE y se asigna un puntaje CVSS.

¿Qué es CVE? 

  Common Vulnerabilities and Exposures es una base de datos de vulnerabilidades que son públicamente conocidas. Su supervisión corre por cuenta de MITRE Corporation, con asistencia financiera de la Agencia de Seguridad de Ciberseguridad e Infraestructura del Departamento de Seguridad Nacional de Estados Unidos. En este caso, a las vulnerabilidades que se registran en en esta base, a su vez, se les asigna un score conforme a CVSS para poder identificar la complejidad de la vulnerabilidad y poder gozar de un criterio más exacto a la hora de la toma de decisiones.

¿Qué es CVSS? 

  Es un estándar abierto bajo dominio de FIRST. CVSS representa “Common Vulnerability Score System” que, como su nombre indica, es un sistema de puntaje para estimar el impacto que pueden llegar a implicar las vulnerabilidades. A la hora de determinar qué nivel de riesgo puede determinar una amenaza se emplea una escala que se establece entre el 0 y 10.