Kritische Sicherheitslücke bei Broadcom

Broadcom hat eine schwere Sicherheitslücke in VMware Avi Load Balancer (vormals VMware NSX Advanced Load Balancer) veröffentlicht.  Diese erlaubt es dem Angreifer, Root-Privilegien auf den Systemen zu erlangen (privilege escalation vulnerability). Das Ausnutzen der Sicherheitslücke kann somit zu erheblichen Security-Problemen führen.

Darüber hinaus wurde eine mittelschwere Sicherheitslücke entdeckt, die dazu führt, dass Credentials im Klartext einsehbar sind (information disclosure vulnerability).

Der Hersteller hat den Sicherheitslücken die CVEs CVE-2024-22264 und CVE-2024-22266 zugewiesen.

Details finden sich bei Broadcom unter:  
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24219

Details zu den CVEs bei cve.mitre.org:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-22264
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-22266

Wer ist betroffen?

Betroffen sind alle VMware Avi Load Balancer der Versionen 22.1.x und 30.x.x. Die Version 22.1.x ist nur von betroffen CVE-2024-22264 (privilege escalation vulnerability), die Version 30.x.x hingegen von CVE-2024-22264 (privilege escalation vulnerability) und CVE-2024-22266 (information disclosure vulnerability).

Was ist zu tun?

Da kein Workaround existiert, sollten schnellstmöglich die genannten Versionen (22.1.6 bzw. 30.2.1) installiert werden.
Diese sind erhältlich unter folgenden Links:

VMware Avi Load Balancer 30.2.1

Download Upgrade: https://portal.avipulse.vmware.com/software/nsx-alb/663a73bf242391764c7843b6 

Release Notes 30.2.1: https://docs.vmware.com/en/VMware-Avi-Load-Balancer/30.2/Release-Notes/GUID-DDBAB854-D5EA-453F-9827-F1EF13E472ED.html 

VMware Avi Load Balancer 22.1.6

Download Upgrade: https://portal.avipulse.vmware.com/software/nsx-alb/65df800d9489e9042d642396 

Release Notes: https://docs.vmware.com/en/VMware-NSX-Advanced-Load-Balancer/22.1/Release_Notes/GUID-1A3C280D-1B51-44C0-BA98-3B9CD6B6750C.html