Broadcom ha publicat per al seu programa VMware Tanzu 2 avisos de seguretat amb 26 vulnerabilitats en total, de les quals 2 són de severitat crítica, 9 altes i 15 mitjanes. Si s’exploten les vulnerabilitats, es pot alterar el flux normal de comunicacions.
Análisi
Les vulnerabilitats de severitat crítica són:
- CVE-2024-45337: les aplicacions i biblioteques que fan un ús indegut de connection.serverAuthenticate (a través del camp de devolució de cridada ServerConfig.PublicKeyCallback) poden ser susceptibles d’eludir l’autorització.
- CVE-2025-22871: el paquet net/http accepta incorrectament un LF simple com a terminador de línia en línies de grandària de fragment de dades fragmentades. Això pot permetre el contraban de sol·licituds si s’utilitza un servidor net/http juntament amb un servidor que accepta incorrectament un LF simple com a part d’un chunk-ext.
Productes Afectats
- VMware Tanzu Data Intelligence;
- VMware Tanzu Data Suite;
- VMware Tanzu Greenplum;
- Tanzu Kubernetes Runtime;
- VMware Tanzu Application Service;
- VMware Tanzu Kubernetes Grid Integrated Edition
- VMware Tanzu Platform;
- VMware Tanzu Platform – Cloud Foundry;
- VMware Tanzu Platform Core;
- VMware Tanzu Platform – Kubernetes;
- VMware Tanzu Platform – SM.
- Referències