VMware phát hành bản vá lỗ hổng ShellShock cho chuỗi sản phẩm
Giống như Heartbleed các nhà cung cấp phát hành ra các bản vá lỗi để khắc phục những lỗ hổng xuất hiện bất ngờ vào đầu năm nay. Lỗ hổng Shellshock cũng đã buộc các nhà cung cấp phải vào cuộc nhanh chóng. Công ty VMware đã đưa ra một báo cáo về tiến độ phát hành bản sửa lỗi cho bốn loại sản ...
Giống như Heartbleed các nhà cung cấp phát hành ra các bản vá lỗi để khắc phục những lỗ hổng xuất hiện bất ngờ vào đầu năm nay. Lỗ hổng Shellshock cũng đã buộc các nhà cung cấp phải vào cuộc nhanh chóng.
Công ty VMware đã đưa ra một báo cáo về tiến độ phát hành bản sửa lỗi cho bốn loại sản phẩm khác nhau có liên quan đến lỗi này vào hôm thứ Hai. Đối với hầu hết các trường hợp công ty đều chú trọng xử lý.
Theo cố vấn an ninh của hãng ngày hôm qua, công ty hiện đang ở giai đoạn phát triển một bản vá cho tất cả các dòng sản phẩm, trừ một trong 38 sản phẩm đó được truyền tải với một phiên bản chịu ảnh hưởng của Bash, còn lại tất cả đều chạy trên hệ điều hành Linux. vCenter Log Insight 2.0, một nền tảng phân tích dựa trên điện toán đám mây, là sản phẩm duy nhất chịu ảnh hưởng của Bash mà công ty phát hành bản vá cho đến nay. Ngày hôm qua công ty đăng tải một liên kết cho phép tải về tập tin vá lỗi, một tệp tin .PAK gọi là “Update 1”.
VMware cũng đang chuẩn bị một bản vá cho ESX Hypervisor – Đây là một trong nhiều phần mềm của công ty đang chạy trên máy ảo và chịu ảnh hưởng của Bash. Các bản vá lỗi áp dụng cho cả phiên bản 4.0 và 4.1 sẽ xuất hiện thời gian tới. VMWare không đưa ra khung thời gian xác định cho việc sửa chữa nhưng đã tuyên bố việc phát hành bản vá sẽ là một ngoại lệ đối với chính sách vòng đời hiện tại của VMware.
VMWare đã đưa ra một cảnh báo về Bash và nhấn mạnh rằng với bất kỳ sản phẩm nào sử dụng cấu hình Bash như một phần của hệ điều hành thì nó đều dễ bị tấn công. Để giảm thiểu các lỗ hổng, người dùng cần hạn chế quyền truy cập vào các thiết bị thông qua các luật riêng của tường lửa, kiểm soát các lớp mạng khác với một địa chỉ IP duy nhất và đáng tin cậy. Và đặc biệt hãy cập nhật ngay các bản vá lỗi trong trường hợp đã được phát hành sẵn.
Khi đưa ra các bản vá nên giải quyết triệt để các lỗ hổng mà tin tặc có thể lợi dụng để khai thác Shellshock như CVE- 2014-6271 , CVE- 2014-7169 , CVE- 2014-7186 , và CVE- 2014-7187.
Shellshock là một lỗ hổng cho phép thực thị mã điều khiển từ xa trong việc thực hiện Bash. Apple cũng đã nhanh chóng trấn an người dùng của mình rằng bản thân hệ điều hành OS X có thể chống lại lỗ hổng Bash trong khi OpenVPN đã đưa ra cảnh báo ngày hôm qua là hệ thống máy chủ của hãng có nguy cơ bị tấn công.
TheRegister