CamSA22-45: ចំណុចខ្សោយធ្ងន់ធ្ងរមាននៅក្នុងផលិតផលក្រុមហ៊ុន VMware

អត្ថបទដោយSemtararath

១. ព័ត៌មានទូទៅ

នាពេលថ្មីៗនេះក្រុមហ៊ុន VMware បានចេញសេចក្តីណែនាំសន្តិសុខ (VMSA-2022-0028) បន្ទាន់មួយអំពីការទប់ស្កាត់ទៅលើភាពងាយរងគ្រោះ និងដើម្បីបិទចន្លោះប្រហោង (ចំណុចខ្សោយ) ចំនួន១ ដែលមាននៅក្នុងកម្មវិធី VMware Workspace ONE Assist (Assist)។ ចំណុចខ្សោយនេះមានលេខសម្គាល់ CVE-2022-31687 ជាប្រភេទដំណើរការរំលងប្រព័ន្ធសុវត្ថិភាព(bypass) មានកម្រិតសុវត្ថិភាពធ្ងន់ធ្ងរ និងទទួលបានពិន្ទុ CVSSv3 9.8 អាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ ដែលស្ថិតក្នុងបណ្តាញអាចធ្វើការរំលងប្រព័ន្ធសុវត្ថិភាព (bypass) ពីការរឹតបណ្តឹងសន្តិសុខ អាចធ្វើការផ្ញើសំណើពិសេសមួយចំនួន និងធ្វើប្រតិបត្តិកូដបំពាននៅលើប្រព័ន្ធដែលជាគោលដៅបានដោយជោគជ័យ។

២. ផលិតផលដែលរងផលប៉ះពាល់

  • VMware Workspace ONE Assist (Assist)

៣. ផលវិបាក

ការវាយប្រហារដោយជោគជ័យលើចំណុចខ្សោយខាងលើនេះអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រលួចចូលក្នុងប្រព័ន្ធហើយអាចធ្វើការផ្លាស់ប្តូរ ឬលុបទិន្នន័យនិងបង្កើតគណនីថ្មីជាដើម និងអាចគ្រប់គ្រងលើប្រព័ន្ធទាំងមូលបានតែម្តង។

៤. អនុសាសន៍ណែនាំ

ការិយាល័យ CamCERT សូមផ្តល់អនុសាសន៍ឱ្យអ្នកគ្រប់គ្រងប្រព័ន្ធ និងអ្នកប្រើប្រាស់ទាំងអស់ធ្វើការអាប់ដេតជាបន្ទាន់តាមដែលអាចធ្វើទៅបាន។

៥. ឯកសារពាក់ព័ន្ធ

–      https://www.cisa.gov/uscert/ncas/current-activity/2022/11/09/vmware-releases-security-updates

–      https://www.vmware.com/security/advisories/VMSA-2022-0028.html

អត្ថបទជាប់ទាក់ទង

  • ស្វែងយល់អំពីកម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ (Password Manager)

  • តោះ! មកដឹងពីគោលបំណងនៃការរៀបចំវេទិការដ្ឋាភិបាលឌីជីថលទាំងអសតោះ! មកដឹងពីគោលបំណងនៃការរៀបចំវេទិការដ្ឋាភិបាលឌីជីថលទាំងអស់គ្នា

  • វេទិការដ្ឋាភិបាលឌីជីថល (Digital Government Forum ហៅកាត់ DGF)