Postoje zakrpe za najnoviju seriju sigurnosnih upozorenja iz Broadcom-a, ali korisnici VMware-a na vječnim licencama možda nemaju pristup
Od
Cliff Saran,Upravljanje urednikom
Objavljeno: 16. maja 2025. 14:41
Ranije ovog mjeseca, Broadcom informirao je kupce koje više ne bi obnavljali ugovore o podršci za VMWre proizvode kupljene na naknadnoj osnovi za licencu i da bi se podrška nastavila samo za one koji su se preselili u pretplatu na VMware.
S obzirom na značajan otisak VMware-a u korporativnom IT-u, mnoge se organizacije suočavaju sa izazovom održavanja sigurnog virtuelizacijskog okruženja po pristupačnim troškovima. Kao što je kompjuterski tjedan prijavljen, Broadcom je pojednostavio portfelj proizvoda VMware, što znači da se nekoliko proizvoda sada ubacuje u VMware Cloud Foundation, pokreće troškove.
12. maja, Broadcom je izdao sigurnosne savjete koji se odnose na neke od svojih VMware proizvoda. Jedan – CVE-2025-22249, koji utječe na aria alat – označen je kao kritično. Drugi – CVE-2025-22247, koji utječe na VMware alate – klasificiran je kao umjeren rizik.
Iako je izdao zakrpe za VMware Aria 8.18.x i VMware Tools 11.xx i 12.xx, Broadcom nije pružio nikakve greške.
Prema nekim stručnjacima za industriju, nedostatak zakrpa i pristupa zakrpama koji rade na raspolaganju dozvole VMware ne samo da uzrokuje pukotinu između kupaca Broadcom i VMware, ali mogu se tumačiti kao indirektni pritisak vlasnika VMware-a za premještanje na licenciranje na temelju pretplate na licenciranje.
U otvorenom pismu, VMware Rival platforma9 je istakla da je kada se Broadcom prebacio iz perspektivnog licenciranja VMware-a na cijene zasnovane na pretplatu, ona je osigurala kupce da tranzicija ne bi utjecala na sposobnost kupaca da koristi svoje postojeće stalne licence.
U pismu9 je rekao: “Prošle nedelje je prošlih obećanja slomljeno. Mnogi od vas prijavili su primanje prestajenih i dešavih naloga iz Broadcoma u pogledu vaše korištenja VMware licence. Ova slova zahtijevaju da uklonite / deinstall flastere i pogreške koje možete koristiti.”
Prema platformi9, Emdocomova definicija “licencirane podrške” izgleda da se promijenilo. Pismo napominje da su kupci VMware sa vječnim licencama pokriveni samo za “nulto-dan” sigurnosne zakrpe. “Redovne sigurnosne zakrpe, pogreške i manji zakrpe mogu se koristiti samo ako sada platite u toku pretplatu”, “Platforma9 je upozorena u otvorenom pismu.
Bez pristupa zakrpama, kupci VMware koji koriste podršku treće strane za njihov neprestano licencirani VMware proizvodi moraju se osloniti na obrnuto.
Gledajući specifične ranjivosti, Iain Saunderson, glavni tehnološki službenik na Spinnaker podršci, rekao je da je tvrtka pružila svoje VMware treće strane podršku kupcima u roku od sati sati u roku od sati sati u roku od sati sati u roku od nekoliko sati. “Postoje vežbanje koje implementiramo kako bismo poremetili mogući napadački lanci. Naš proaktivni i robusni pristup sigurnosti znači da ispravčimo brzo dostupnim kupcima koji su lakše raspoređivati od nadogradnje ili zakrpa verzije.”
Mnoge ranjivosti proizlaze iz slabosti konfiguracije, a ne zastarjelih softvera ili zakrpa Craig Savage, Spinnaker podrška
Gabe Dimeglio, glavni službenik za sigurnost, viši potpredsjednik i generalni direktor u Riminiju i gledaju, a naša tima za podršku zatražili su pomoć u prioritetu na osnovu njihovih jedinstvenih korištenja pogođenog proizvoda ili modula unutar njihovih jedinstvenih okruženja i ublažavanja na osnovu njihovih primjenjivih sistema i konfiguracija. “
Upozorenje za ranjivost CVE-2025-22247 bilježi da VMware alati sadrži nesigurna ranjivost upravljanja datotekama. Zlonamjerni akter s ne-administrativnim privilegijama na gostujućoj virtualnom stroju (VM) može iskoristiti ranjivost da bi se prebacili lokalne datoteke kako bi pokrenuli nesigurne operacije datoteka unutar tog VM-a.
Rimini Street rekao je da ranjivost omogućava korisnicima da iskorištavaju nedostatak u VMware alatima i alternativnim otvorenim-VM alatom za manipuliranje datotečnom sustavom virtualne mašine. Preporučio se pomoću Open-VM-Alati preko VMware alata u kojima je izvedivo.
Prema analizi iz ulice Rimini, CVE-2025-22249 odnosi se na ranjivost (XSS) skripta (XSS) s Alatom za automatizaciju VMware Aria koji obično koriste administratori za olakšavanje zadataka, a mnoge organizacije ga možda ne mogu koristiti.
Craig Savage, potpredsjednik Cyber sigurnosti na podršci Spinnaker-a, rekao je: “Ponuda zakrpljenih pružatelja usluga. Prije nego što nanose ranjive praznine, a ne ranjivosti su proizvedene od slabosti konfiguracije, a ne zastarjele softvere ili praznine.”
Prema divljačkim, pogrešnim funkcijama poput izloženih VCENER-ova instanci na Internetu daleko su veće prijetnje nego što nedostaje jedan zakrpa. Rekao je da su timovi za podršku trećim stranama u mogućnosti da obavljaju proaktivne sigurnosne kritike, gledajući cijelo osiguranje organizacije. “Slaba korijenska lozinka na vCenter nije fiksirana zakrpa – zahtijeva procjenu, sanaciju i bolju sigurnosnu politiku”, dodao je.
Pročitajte više o IT dobavljaču
Ono što se licenciranje VMware-a otkrije o kontroli i riziku
Konkurs za hakiranje izlaže VMware sigurnost
Napisao: Cliff Saran
Broadcom pisma pokazuju pritisak na pretplate VMware
