{"id":232816,"date":"2022-10-13T01:39:21","date_gmt":"2022-10-13T01:39:21","guid":{"rendered":"https:\/\/magazineoffice.com\/error-de-vmware-de-alta-gravedad-aun-sin-parchear-casi-un-ano-despues\/"},"modified":"2022-10-13T01:39:22","modified_gmt":"2022-10-13T01:39:22","slug":"error-de-vmware-de-alta-gravedad-aun-sin-parchear-casi-un-ano-despues","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/error-de-vmware-de-alta-gravedad-aun-sin-parchear-casi-un-ano-despues\/","title":{"rendered":"Error de VMware de alta gravedad a\u00fan sin parchear, casi un a\u00f1o despu\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"article-body\">\n<p>Una vulnerabilidad de alta gravedad descubierta hace casi un a\u00f1o en VMware vCenter Server 8.0 a\u00fan no se ha reparado<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span>ha confirmado la compa\u00f1\u00eda.<\/p>\n<p>La falla, rastreada como CVE-2021-22048, se describe como una vulnerabilidad de escalada de privilegios y permite a los usuarios que no son administradores elevar sus privilegios en servidores sin parches.  Se descubri\u00f3 en noviembre de 2021 en el mecanismo de autenticaci\u00f3n de Windows integrado (IWA) de vCenter Server.<\/p>\n<aside class=\"hawk-nest\" data-render-type=\"fte\" data-skip=\"dealsy\" data-widget-type=\"seasonal\"\/>\n<p>Los actores de amenazas que explotan con \u00e9xito la falla pueden \u00abcomprometer por completo la confidencialidad y\/o la integridad de los datos del usuario y\/o los recursos de procesamiento a trav\u00e9s de la asistencia del usuario o por parte de atacantes autenticados\u00bb, se dijo en ese momento.<\/p>\n<h2 id=\"workarounds-available\">Soluciones alternativas disponibles<\/h2>\n<p>El parche a\u00fan est\u00e1 pendiente, pero no por falta de intentos.  De hecho, VMware emiti\u00f3 una actualizaci\u00f3n de seguridad en julio de este a\u00f1o, que trat\u00f3 de corregir la falla de los servidores que ejecutan la versi\u00f3n m\u00e1s actualizada (que era vCenter Server 7.0 Update 3f, seg\u00fan BleepingComputer).<\/p>\n<p>Sin embargo, la empresa se vio obligada a retirar el parche menos de quince d\u00edas despu\u00e9s porque no solucion\u00f3 el problema y tambi\u00e9n provoc\u00f3 que el servicio de token seguro (vmware-stsd) fallara durante el parche.<\/p>\n<p>\u00abVMware ha determinado que las actualizaciones de vCenter 7.0u3f mencionadas anteriormente en la matriz de respuesta no solucionan CVE-2021-22048 e introducen un problema funcional\u00bb, dijo VMware en ese momento, en su aviso de seguridad.<\/p>\n<p>Hasta que el parche est\u00e9 disponible, se recomienda a los administradores de TI que ejecutan los sistemas afectados que implementen una soluci\u00f3n, cambiando de IWA a Active Directory a trav\u00e9s de autenticaci\u00f3n LDAP O Federaci\u00f3n de proveedores de identidad para AD FS (vSphere 7.0). <\/p>\n<p>\u00abLa autenticaci\u00f3n de Active Directory sobre LDAP no se ve afectada por esta vulnerabilidad\u00bb, dijo la compa\u00f1\u00eda. \u00abSin embargo, VMware recomienda encarecidamente que los clientes planeen cambiar a otro m\u00e9todo de autenticaci\u00f3n\u00bb. <\/p>\n<p>Adem\u00e1s, \u00abActive Directory sobre LDAP no comprende las confianzas de dominio, por lo que los clientes que cambien a este m\u00e9todo tendr\u00e1n que configurar una fuente de identidad \u00fanica para cada uno de sus dominios de confianza\u00bb, explic\u00f3 VMware. \u00abIdentity Provider Federation for AD FS no tiene esto restricci\u00f3n.\u00bb<\/p>\n<p>V\u00eda BleepingComputer<span class=\"sr-only\"> (se abre en una pesta\u00f1a nueva)<\/span><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-35<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una vulnerabilidad de alta gravedad descubierta hace casi un a\u00f1o en VMware vCenter Server 8.0 a\u00fan no se ha reparado (se abre en una pesta\u00f1a nueva)ha confirmado la compa\u00f1\u00eda. La&hellip;<\/p>\n","protected":false},"author":1,"featured_media":58807,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[4620,1824,83,1325,394,1690,17175,27544,1474,26824],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/232816"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=232816"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/232816\/revisions"}],"predecessor-version":[{"id":232817,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/232816\/revisions\/232817"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/58807"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=232816"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=232816"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=232816"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}