Kritikus hibát javít a Broadcom az ESXi 7 és 8 legújabb frissítéseiben

Virtualizáció

Bejelentés

VMSA-2025-0004: VMware ESXi, Workstation, and Fusion updates address multiple vulnerabilities (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)

Érintett termékek

  • VMware ESXi
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion
  • VMware Cloud Foundation
  • VMware Telco Cloud Platform

Ismert támadási vektor

A malicious actor with local administrative privileges on a virtual machine may exploit this issue to execute code as the virtual machine's VMX process running on the host. 

Biztonsági válaszlépések mátrixa

VMware Product      Version      Running On    CVE                                                                                Severity     Fixed Version              Workarounds   Add. Documentation

VMware ESXi             8.0              Any                 CVE-2025-22224, CVE-2025-22225, CVE-2025-22226         Critical        ESXi80U3d-24585383     None                 FAQ

VMware ESXi             8.0              Any                 CVE-2025-22224, CVE-2025-22225, CVE-2025-22226         Critical        ESXi80U2d-24585300     None                 FAQ

VMware ESXi             7.0              Any                 CVE-2025-22224, CVE-2025-22225, CVE-2025-22226         Critical        ESXi70U3s-24585291     None                 FAQ

( bennyh | 2025. 03. 10., h – 13:19 )

Legalább dolgoznak a pénzükért :D

nyilvan pont ezert tudtak megcsinalni ezt a dragitast. akkora a vendorlockin hogy mindenki osszeszoritott fogakkal de kicsengetni a penzt. de ezert nem hibaztatom oket, barki igy tenne aki hasonlo helyzetben lenne.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Látókörben egyetlen free ESXi-ről tudok, amit HyperV-re váltottak (termelő vállalatok közül, nem ilyen Pistike játszodája, meg tesztkörnyetet/labor). Az összes vállalat/szervezet/stb., aki a Broadcom előtt VMware-en volt, maradt VMware-en. Eddig.

trey @ gépház

Értem én , h. lock-in, meg nagycég és a többi szokásos.

De mikor azt látod h. az eddig értelmes üzleti kapcsolatot felrúgja az új tulajdonos (mint ahogyan a Broadcom tette miután átvette a gyeplőt a Vmware-nél), minden nagy cég CTO-jánál megszólal a sziréna, és azonnal nekiáll keresgélni az alternativákat. Esetleg meglépni az ilyen esetre betárazott plan B-t. Ugye a Broadcom meglevő, hatályban levő szerződéseket is felrúgott sokaknál nemrégiben, ezért voltak nagy felhörgések.

De ha a virtualizálós homokozóban a Broadcom-nak van a legnagyobb lapátja, hát akkor nincs mese, fizetni kell nekik annyit amennyit csak ki bírnak fizetni a kuncsaftjaik.

Onnantól kezdve hogy a licensz költség különbség kb tíz ember éves bérével egyenértékű kb. mindegy hogy mennyi esetleges pluszmunkával jár egy másik stack üzemeltetése, mert annyival biztos nem...

illetve van olyan érv is a váltás mellet, hogy nem mindenki akar olyan cégtől függeni, akik képesek így bánni az ügyfeleikkel...

Onnantól kezdve hogy a licensz költség különbség kb tíz ember éves bérével egyenértékű kb. mindegy hogy mennyi esetleges pluszmunkával jár egy másik stack üzemeltetése, mert annyival biztos nem...

Hát, ha ki van számolva, akkor ki van számolva ...

Ha a másik stack üzemeltetéséhez 10+ ember kell, ráadásul a megbízhatósággal is gond van (esik-kel, állandóan simogatni kell), akkor megette a fene az egész "spórolást". Ezért mondtam, hogy 1 éves üzemeltetési tapasztalat után érdekelnének a részletek.

Az sem mindegy, hogy váltás miatt vesztesz-e embert az üzemeltetési oldalon. Pl. "szopjon ezzel, akinek Imre az anyja!" és felmond, majd lemegy olyan helyre, ahol van pénz VMware-re.

Ott vannak a megvett 3rd party cuccok és azok integrációjának kérdése.

Megannyi kérdés.

trey @ gépház

A megannyi kérdésre általában a válaszok megszületnek, mire valaki dönt a megy/marad kérdésben.

Nyilván minden migrációs projektet megelőz egy POC fázis, ahol nagyjából azért ki lehet tesztelni, hogy mire számíthat valaki migráció és üzemeltetés szempontjából,  bele értve az integrációs teszteket is.

És igen, sok esetben sok kompromisszummal jár a váltás, mert nincs a vmware-nek egyenértékű helyettesítő terméke. Senkinek sem szorítanak fegyvert a fejéhez, hogy költözzön vmware-ről. Nyilván aki így dönt az végig gondolta pro és kontra, és úgy jött ki a matek, hogy a váltással jobban jár. (Kivéve, ha a corporate anyukacég közli a lányokkal, hogy kötelező váltani, tök mindegy mire - mert ilyenről is hallottam első kézből.)

 

a munkaerőt illetőleg most van egy olyan sejtésem, hogy kínálati piac van kialakulóban a kizárólag vmware-hez értő emberekből... :D

Van benne valami, de nálunk nem a plusz költség miatt lesz kivezetve, hanem mert egy ilyen üzleti partnerrel nem foglalkozunk aki ilyet tesz egyoldalúan. 100k+ core van a licence csomagban és 4-8-szoros per szerver licence árat adtak. Egyszerűen a global anyavállalat szétszórt egy adag pénzt és kijelentette, hogy a vmware minden terméke kuka mert egyszerűen üzleti rizikó.

Azt meg nagyon erősen kétlem, hogy a magyar átlag kkv vagy bárki is fog érte fizetni továbbra is. Azért évente 20-30k eur / sokmagos szerverre a licence teljesen elfogadhatatlan.

Tehát ez politika. Mint amikor nem vesznek Tesla-t, mert Musk.

Értem, hogy sokkal drágább lett, de a kérdés az, hogy úgy is megérné-e. Sok helyen úgy döntöttek, hogy úgy is megéri, mert annyival jobb mint a versenytársai.

trey @ gépház

hanem mert egy ilyen üzleti partnerrel nem foglalkozunk aki ilyet tesz egyoldalúan

Ez politika. Aki azt hitte, hogy piacgazdaságban a törvényesség keretein belül nem akkor emel egy cég árat és úgy, ahogy szeretne, az mindig tévedésben volt. Tehát, eleve nem értem, hogy akkor mit kerestek VMware-en.

trey @ gépház

van olyan allapot amikor a piacgazdasagban "lehet de nem ajanlott" arat emelni. itt most olyan allapotvan hogy azt csinalhat a ceg amit akar. a vendorlockin miatt ezt meg is teszi. nincs ezzel gond, akinek ez belefer (anyagilag, politikailag), az kifizetei az uj arat, akinek meg nem az valt.

majd utolag kiderul hogy kinek a dontese volt helyes. \o/

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Egyetlen kérdés van: a hatályos jogszabályoknak megfelel-e. Pl.: nem él-e vissza piaci erőfölényével. Ha van mire migrálni, akkor nagyjából semmi kérdés nincs. De, ha valaki úgy gondolja, hogy jogszerűtlenül emelt, az pereljen.

Gondolom, sokan várnák 🍿-nal a döntés végét.

trey @ gépház

Termelő vállalat n+1-ik delivery unit nevű hidra valahanyadik nyakkendős feje pl. fogott egy számológépet, alfába merült, majd 2024 q3-q4ben a 2025-re még nem véglegesen provizionált VMw licenszköltséget (vagy annak jó részét) egy elegáns döntéssel arra fordította, hogy legyen egy értelmezhető Openstack-alapú megoldás. Lett, és bye Broadcom.

Nálunk is ez van . Mindenki nagyot nézett amikor jöttek az uj árak , de ki kell csengetni, túl “alap“ lett a cégnél a vmware, az összes ember úgy lett alkalmazva hogy vmware a celplatform, túl sok esxi, túl sok vm (ezres nagyságrendű ) van , hogy csak úgy cseréljunk…

( trey | 2025. 03. 10., h – 18:37 )

Are the vulnerabilities being exploited “in the wild?”

Broadcom has information to suggest that exploitation of these issues has occurred “in the wild.”

Is this a “VM Escape?”

Yes. This is a situation where an attacker who has already compromised a virtual machine’s guest OS and gained privileged access (administrator or root) could move into the hypervisor itself.

trey @ gépház