PATCHER: Både VMware og Xen har lagt ut viktige patcher før jul.

PATCHER: Både VMware og Xen har lagt ut viktige patcher før jul.

Viktige jule-patcher for VMware og XEN

Administratorer av virtuelle systemer har en del å gjøre før de virkelig kan feire jul.

VMware har varslet at følgende programvare trenger å fikses for å stå imot hva de kaller "en kritisk deserialiseringssårbarhet": vRealize Orchestrator, vRealize Operations, vCenter Operations og vCenter Application Discovery Manager.

Feilene som må rettes dreier seg om Apache Commons-samlinger (collections) og en spesielt konstruert "kjede av klasser" som kan medføre mulighet til å fjerneksekvere kode ved hjelp av en applikasjon som benytter tillatelser fra Commons-biblioteket.

Versjon 6.x av vRealize Orchestrator kan repareres med siste fiks fra VMware, mens versjon 5.x får en temporær løsning. Patcher for vRealize Operations og vCenter operations er underveis, en forsinkelse som kan tåles fordi mulighetene til å utnytte feilen her er begrenset til lokale brukere.

Xen Project har også lansert noen patcher (XSA-164 til XSA-166). Disse skal håndtere feil ved qemu-prosesser, stoppe mulighet til å stjele krypteringsnøkler og mulighet til eskalering av rettigheter.