VMware corrige 47 vulnerabilidades críticas no Tanzu Greenplum

A VMware anunciou uma série de atualizações de segurança para mitigar 47 vulnerabilidades identificadas no produto Tanzu Greenplum, com especial destaque para os componentes Backup and Restore e Platform Extension Framework. As vulnerabilidades, algumas com pontuação CVSS de 9,8, exigem ação imediata das organizações que utilizam estas soluções.

No total, foram resolvidos 29 problemas no VMware Tanzu Greenplum Backup and Restore e 18 em diversos componentes do Tanzu Greenplum. As correções incluem vulnerabilidades consideradas críticas, como a CVE-2023-39320 e a CVE-2024-24790, que podem permitir escalonamento de privilégios ou execução remota de código em processos de backup.

O pacote de atualizações cobre também o desvio de autorização GHSA-v778-237x-gjrc no módulo de criptografia do Golang, que afeta o tratamento de chaves públicas SSH e pode dar origem a acessos não autorizados.

Entre os problemas de alta gravidade agora resolvidos, destaca-se a CVE-2025-22866, que impacta componentes de rede na plataforma Tanzu for Cloud Foundry. Esta vulnerabilidade pode permitir a intercetação de dados ou acessos indevidos em segmentos de rede isolados.

Outra falha significativa corrigida foi a CVE-2023-44487, um problema no protocolo HTTP/2 que permite ataques de negação de serviço através da exploração de redefinições rápidas de fluxo, colocando pressão excessiva nos servidores afetados.

A versão 6.29.0 do Tanzu Greenplum corrige 18 vulnerabilidades críticas em vários módulos, incluindo problemas nas imagens PL/Container Python3 (GHSA-f73w-4m7g-ch9x e CVE-2024-3596) e DataSciencePython3.9 (GHSA-x4wf-678h-2pmq), que expunham os sistemas a múltiplos vetores de ataque.

Foram ainda identificadas e resolvidas duas falhas críticas na estrutura de extensões da plataforma Greenplum: CVE-2024-47561, no SDK Java do Apache Avro, que pode permitir execução de código arbitrário, e CVE-2018-1282, uma vulnerabilidade de injeção SQL no driver JDBC do Apache Hive.

Para os utilizadores do utilitário de backup gpbackup, a nova versão 1.31.0 é especialmente relevante, introduzindo correções fundamentais, incluindo melhorias na sintaxe de declarações de privilégios no Greenplum 7 durante backups incrementais.

Apesar do foco em segurança, as atualizações incluem novas funcionalidades. A versão 1.31.0 do Tanzu Greenplum Backup and Restore permite agora realizar backups em clusters de recuperação GPDR, enquanto o Tanzu Greenplum Disaster Recovery 1.3.0 introduz um modo de réplica de leitura para ambientes Greenplum 6.29.0 e superiores.

Os especialistas recomendam a aplicação imediata destas atualizações. O comunicado oficial da Broadcom indica que as versões afetadas incluem o Tanzu Greenplum anterior à 6.29.0, o Backup and Restore anterior à 1.31.0 e o Platform Extension Framework anterior à 6.11.1.

O Cyber Center sublinha a urgência da ação e alerta para o facto de algumas vulnerabilidades terem sido identificadas há mais de três anos.