درحالیکه گروهی از آسیبپذیریهای OpenSSL از هفته گذشته وصله شده است، اما مانند آسیبپذیری Heartbleed، این دسته از آسیبپذیریها روی دستهی بزرگی از محصولات وجود خواهند داشت که شرکتها به صورت فردی باید هر یک از این آسیبپذیریها را وصله کنند و برای محصولات خود
بهروزرسانیهای جداگانه منتشر کنند.
VMware، شرکت تولیدکنندهی محصولات کارگزار و مشتری، روز گذشته با انتشار توصیهنامهای وجود این آسیبپذیری را در تعداد
زیادی از محصولات خود تایید کرده و البته اعلام کرده است که تنها برای یک محصول، یعنی ESXi 5.5 وصله وجود دارد.
آسیبپذیری با شناسهی CVE-2014-0224، مربوط به کتابخانهی رمزنگاری OpenSSL، که برای مهاجم امکان حملات مرد میانی را فراهم میکند و در
نهایت منجر به در دسترس قرار گرفتن محتوایی که تصور میشود رمز شده خواهد شد. برای سوءاستفاده از این آسیبپذیری، کارگزار و مشتری هر دو باید دارای نسخههای آسیبپذیر باشند.
آسیبپذیری CVE-2014-0224، بسته به اینکه محصول یک کارگزار است یا مشتری و دارای چه نسخهای از OepnSSL میباشد، دارای اثرات متفاوتی
خواهد بود. سرویسگیرندگانی که محبور به استفاده از وایفای عمومی هستند و با کارگزارهایی در ارتباط میباشند که دارای نسخههای
OpenSSL 1.0.1 است، بهتر است برای در امان ماندن از خطرات احتمالی و به صرفت رفتن اطلاعات محرمانهی خود از شبکههای امنی مانند
VPN استفاده کنند.
فهرست محصولات آسیبپذیر VMWare بسیار طولانی است، و شامل محصولات سمت کارگزار و سمت مشتری میباشد. این
شرکت اعلام کرده است که در حال کار بر روی این نرمافزارها که شامل سایر نسخههای ESXi و نسخههای مختلف از vCenter و
vSphere است میباشد و بهزودی برای آنها وصلههایی را معرفی میکند.
منبع : news.asis.io
