Digital VMware vCenter stark gefährdet

17:15  15 juni  2021
17:15  15 juni  2021 Quelle:   msn.com

5 Tipps für effektives Remote-Pair-Programming

  5 Tipps für effektives Remote-Pair-Programming Wo Menschen eng zusammenarbeiten und kommunizieren, ist Homeoffice eine Herausforderung. Auch Pair-Programming, also die gemeinsame Arbeit an einem Quellcode, lebt vom Miteinander. Damit das auch remote funktioniert, können folgende Tipps helfen. © fizkes / shutterstock Pair-Programming im Homeoffice ist eine echte Herausforderung. Gerade Entwickler*innen können im Homeoffice gut – weil ungestörter – arbeiten, sollte man meinen. Leider ist häufig genau das Gegenteil der Fall, denn besonders der fachliche Austausch mit den Kolleg*innen fehlt.

VMware-Cloud-Verified-1200 © DEFAULT_CREDIT VMware-Cloud-Verified-1200 Kritische Schwachstellen für Remotecode-Ausführung in Tausenden von VMWare vCenter-Servern sind immer noch nicht behoben. Nach fast einem Monat sind Server mit Internetanschluss weiterhin anfällig für Angriffe.

Forscher von Trustwave haben davor gewarnt, dass Tausende von mit dem Internet verbundenen VMWare vCenter-Servern auch Wochen nach der Veröffentlichung von Patches noch kritische Sicherheitslücken aufweisen.

VMWare hat am 25. Mai Patches für zwei kritische Fehler, CVE-2021-21985 und CVE-2021-21986, veröffentlicht. Die erste Sicherheitslücke, CVE-2021-21985, wirkt sich auf VMware vCenter Server und VMware Cloud Foundation aus und wurde mit einem CVSS-Score von 9,8 bewertet. Dieser Fehler wurde in einem vSAN-Plugin gefunden, das standardmäßig in der Anwendung aktiviert ist. Er ermöglicht Angreifern die Ausführung von Remote-Code (RCE), wenn sie Zugriff auf Port 443 haben.

Microsoft-Teams verbessert die Inhaltsfreigabe, PowerPoint Presenter-Ansicht und mehr

 Microsoft-Teams verbessert die Inhaltsfreigabe, PowerPoint Presenter-Ansicht und mehr Microsoft hat eine Reihe neuer und verbesserter Funktionen in der neuesten öffentlichen Vorschau-Edition der -Teams -App veröffentlicht. Hier sind die Updates zu erwarten.

VMWare erklärte in einem Sicherheitshinweis, dass dieser schwerwiegende Fehler ausgenutzt werden kann, so dass Bedrohungsakteure auf „das zugrunde liegende Betriebssystem, das vCenter Server hostet“ mit 2uneingeschränkten Rechten“ zugreifen können.

Der Fehler betrifft vCenter Server 6.5, 6.7 und v.7.0, sowie Cloud Foundation vCenter Server 3.x und 4.x.

Die zweite Schwachstelle, CVE-2021-21986, ist im vSphere-Client (HTML5) und dem vSphere-Authentifizierungsmechanismus für eine Reihe von Plugins vorhanden: Virtual SAN Health Check, Site Recovery, vSphere Lifecycle Manager und VMware Cloud Director Availability.

Mit einem CVSS-Score von 6,5 als weniger kritisch eingestuft, erlaubt dieser Fehler Angreifern mit Zugriff auf Port 443 immer noch, „von den betroffenen Plug-ins erlaubte Aktionen ohne Authentifizierung durchzuführen.“

Dell trennt sich von Boomi

  Dell trennt sich von Boomi Dell Technologies verkauft sein auf Cloud-Integration fokussiertes Tochterunternehmen Boomi an Francisco Partners und TPG Capital für vier Milliarden Dollar. Dell Technologies wird den Cloud-Integrationsanbieter Boomi an Francisco Partners und TPG Capital für 4 Milliarden Dollar verkaufen. Boomi ist auf Cloud-Integration-as-a-Service (iPaaS) fokussiert und hat einen starken Stamm von 15.000 Unternehmenskunden. Dell kaufte Boomi im Jahr 2010, um seine Softwarepalette zu erweitern.

Offenbar sind immer noch Tausende von Servern mit Internetzugang exponiert und sowohl für CVE-2021-21985 als auch CVE-2021-21986 anfällig.

Am Dienstag sagten Forscher von Trustwave SpiderLabs, dass eine Analyse von VMWare vCenter-Servern 5.271 Instanzen von VMWare vCenter-Servern aufgedeckt hat, die online verfügbar sind, von denen die meisten mit den Versionen 6.7, 6.5 und 7.0 arbeiten, wobei Port 443 am häufigsten verwendet wird.

Nach der Verwendung der Shodan-Suchmaschine für weitere Untersuchungen war das Team in der Lage, Daten von 4969 Instanzen abzurufen, und sie fanden heraus, dass insgesamt 4019 Instanzen – oder 80,88 % – ungepatcht bleiben.

Die verbleibenden 19,12 % sind wahrscheinlich verwundbar, da es sich um alte Versionen der Software handelt, darunter die Versionen 2.5x und 4.0x, die nicht mehr unterstützt werden und deren Lebensdauer abgelaufen ist.

VMware kombiniert Dienste für neue moderne Apps Connectivity Platform

 VMware kombiniert Dienste für neue moderne Apps Connectivity Platform VMware Am Mittwoch kündigte an, dass es eine neue Plattform rollt, die zwei Produkte für die End-to-End-Anwendungskonnektivität vereint. Die moderne Apps Connectivity-Plattform kombiniert VMware Tansu Service Mesh mit dem NSX Advanced Load Balancer. © von ZDNET bereitgestellt Das neue Angebot sollte Organisationen mit den Herausforderungen unterstützen, dagegen, da sie versuchen, neue, modernisierte Anwendungen in die Produktion zu bewegen.

Als der Hersteller die Sicherheitsfixes herausgab, sagte VMWare, dass die Schwachstellen die „sofortige Aufmerksamkeit“ der Anwender erfordern. Wie bereits von ZDNet berichtet, können die Patches einige Plugins von Drittanbietern zerstören, und wenn die Anwendung der Fixes nicht möglich ist, werden Server-Besitzer gebeten, VMWare-Plugins zu deaktivieren, um die Gefahr eines Exploits zu vermindern.

Obwohl es laut Trustwave zum Zeitpunkt des Verfassens dieses Artikels keinen aktiven Exploit für diese Server zu geben scheint, wird dennoch empfohlen, diese Art von kritischen Fehlern so schnell wie möglich zu beheben bzw. zu entschärfen.

Proof-of-Concept (PoC) Code wurde für CVE-2021-21985 veröffentlicht. Das Problem ist so schwerwiegend, dass die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) die Hersteller aufgefordert hat, ihre Builds zu patchen.

Intel Forms Accelerated Computing, Software Business Units .
Chip Giant Intel Dieser Nachmittag sagte Es erstellt zwei neue Geschäftseinheiten, eine beschleunigte Computersysteme und Grafikgruppe sowie eine Software- und Advanced Technology-Gruppe. © ZDNET Der Erstere konzentriert sich auf leistungsstarke Computer- und Grafiktechnologie, während letzterer "Intel's Vision for Software" fördert ", sagte das Unternehmen.

usr: 5
Das ist interessant!