Broadcom hat eine schwere Sicherheitslücke in VMware Avi Load Balancer (vormals VMware NSX Advanced Load Balancer) veröffentlicht. Diese erlaubt es dem Angreifer, Root-Privilegien auf den Systemen zu erlangen (privilege escalation vulnerability). Das Ausnutzen der Sicherheitslücke kann somit zu erheblichen Security-Problemen führen.
Darüber hinaus wurde eine mittelschwere Sicherheitslücke entdeckt, die dazu führt, dass Credentials im Klartext einsehbar sind (information disclosure vulnerability).
Der Hersteller hat den Sicherheitslücken die CVEs CVE-2024-22264 und CVE-2024-22266 zugewiesen.
Details finden sich bei Broadcom unter:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24219
Details zu den CVEs bei cve.mitre.org:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-22264
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-22266
Wer ist betroffen?
Betroffen sind alle VMware Avi Load Balancer der Versionen 22.1.x und 30.x.x. Die Version 22.1.x ist nur von betroffen CVE-2024-22264 (privilege escalation vulnerability), die Version 30.x.x hingegen von CVE-2024-22264 (privilege escalation vulnerability) und CVE-2024-22266 (information disclosure vulnerability).
Produkt | Version | CVE | Fix in Version |
---|---|---|---|
VMware Avi Load Balancer | 22.1.x | CVE-2024-22264 | 22.1.6 |
VMware Avi Load Balancer | 30.x.x | CVE-2024-22264, CVE-2024-22266 | 30.2.1 |
Was ist zu tun?
Da kein Workaround existiert, sollten schnellstmöglich die genannten Versionen (22.1.6 bzw. 30.2.1) installiert werden.
Diese sind erhältlich unter folgenden Links:
VMware Avi Load Balancer 30.2.1
Download Upgrade: https://portal.avipulse.vmware.com/software/nsx-alb/663a73bf242391764c7843b6
Release Notes 30.2.1: https://docs.vmware.com/en/VMware-Avi-Load-Balancer/30.2/Release-Notes/GUID-DDBAB854-D5EA-453F-9827-F1EF13E472ED.html
VMware Avi Load Balancer 22.1.6
Download Upgrade: https://portal.avipulse.vmware.com/software/nsx-alb/65df800d9489e9042d642396
Release Notes: https://docs.vmware.com/en/VMware-NSX-Advanced-Load-Balancer/22.1/Release_Notes/GUID-1A3C280D-1B51-44C0-BA98-3B9CD6B6750C.html