Servicio de aplicación VMware Tanzu para VM y vulnerabilidad de divulgación de información del segmento de aislamiento (CVE-2023-20891)
Productos afectados.
Servicio de aplicaciones VMware Tanzu para máquinas virtuales
Segmento de aislamiento
Introducción.
El servicio de aplicación VMware Tanzu para máquinas virtuales y el segmento de aislamiento contienen una divulgación de información que se informó de forma privada a VMware. Hay parches disponibles para remediar esta vulnerabilidad en los productos de VMware afectados.
Descripción.
El servicio de aplicación VMware Tanzu para VM y segmento de aislamiento contiene una vulnerabilidad de divulgación de información debido al registro de credenciales en codificación hexadecimal en los registros de auditoría del sistema de la plataforma. VMware ha evaluado la gravedad de este problema en el rango de gravedad moderada con una base CVSSv3 máxima puntuación de 6,5.
Vectores de ataque conocidos.
Un usuario no administrador malintencionado que tenga acceso a los registros de auditoría del sistema de la plataforma puede acceder a las credenciales de administrador de la API de CF codificadas en hexadecimal y puede enviar nuevas versiones maliciosas de una aplicación. En una implementación predeterminada, los usuarios que no son administradores no tienen acceso a los registros de auditoría del sistema de la plataforma.
Versiones Afectadas
| PRODUCTO | VERSION AFECTADA | CVE | VERSION ESTABLE |
| VMware Tanzu Application Service for VMs | 4.0.x | CVE-2023-2089 | 4.0.5 |
| VMware Tanzu Application Service for VMs | 3.0.x | CVE-2023-2089 | 3.0.14 |
| VMware Tanzu Application Service for VMs | 2.13.x | CVE-2023-2089 | 2.13.24 |
| VMware Tanzu Application Service for VMs | 2.11.x | CVE-2023-2089 | 2.11.42 |
| Isolation Segment | 4.0.x | CVE-2023-2089 | 4.0.4 |
| Isolation Segment | 3.0.x | CVE-2023-2089 | 3.0.13 |
| Isolation Segment | 2.13.x | CVE-2023-2089 | 2.13.20 |
| Isolation Segment | 2.11.x | CVE-2023-2089 | 2.11.35 |
Recomendaciones
Resolución y recomendaciones.
Para remediar CVE-2023-20891, aplique los parches enumerados en la columna 'Versión fija' de la 'Matriz de resolución' que se encuentra a continuación. Se recomienda a todos los usuarios afectados del servicio de aplicación Vmware Tanzu para VM y segmento de aislamiento que realicen la rotación de credenciales de administrador de la API de CF según nuestra KB aquí.
Referencias
Fixed Version(s) and Release Notes:
VMware Tanzu Application Service for VMs ( 4.0.5):
https://network.pivotal.io/products/elastic-runtime#/releases/1342404
https://docs.vmware.com/en/VMware-Tanzu-Application-Service/4.0/tas-for-vms/runtime-rn.html
VMware Tanzu Application Service for VMs ( 3.0.14):
https://network.pivotal.io/products/elastic-runtime#/releases/1342398
https://docs.vmware.com/en/VMware-Tanzu-Application-Service/3.0/tas-for-vms/runtime-rn.html
VMware Tanzu Application Service for VMs ( 2.13.24):
https://network.pivotal.io/products/elastic-runtime#/releases/1342401
https://docs.vmware.com/en/VMware-Tanzu-Application-Service/2.13/tas-for-vms/runtime-rn.html
VMware Tanzu Application Service for VMs ( 2.11.42):
https://network.pivotal.io/products/elastic-runtime#/releases/1342399
https://docs.vmware.com/en/VMware-Tanzu-Application-Service/2.11/tas-for-vms/runtime-rn.html
Isolation Segment (4.0.4):
https://network.pivotal.io/products/p-isolation-segment#/releases/1326013
https://docs.vmware.com/en/VMware-Tanzu-Application-Service/4.0/tas-for-vms/segment-rn.html
Isolation Segment (3.0.13):
ttps://network.pivotal.io/products/p-isolation-segment#/releases/1326008
https://docs.vmware.com/en/VMware-Tanzu-Application-Service/3.0/tas-for-vms/segment-rn.html
Isolation Segment (2.13.20):
https://network.pivotal.io/products/p-isolation-segment#/releases/1326016
https://docs.vmware.com/en/VMware-Tanzu-Application-Service/2.13/tas-for-vms/segment-rn.html
Isolation Segment (2.11.35)
https://network.pivotal.io/products/p-isolation-segment#/releases/1325965
https://docs.vmware.com/en/VMware-Tanzu-Application-Service/2.11/tas-for-vms/segment-rn.htm
