Bleeping Computer 网址信息,VMware
公布警示,称其好几个商品中存有重要漏洞,网络攻击可以利用这种漏洞进行远程控制代码执行进攻,客户应当马上修补,以避免遭到黑客攻击。
VMware 在公示中警告,客户应依据 VMSA-2021-0011 中的标示,马上修补或减轻这种漏洞,要不然会产生很严重的不良影响。
此外,申明中注重,每一个客户所具有的自然环境各有不同,对安全风险的承受度也不一样,有不同的安全管理和深层防御力来缓解风险性,因而是不是修补漏洞必须客户自身决策,可是由于漏洞的严重后果,强烈要求客户应该马上付诸行动,修补漏洞。
五个重要漏洞的补丁包
现阶段,修补的重要安全性漏洞明细包含一个服务端模版引入远程控制代码执行漏洞(CVE-2022-22954),2个 OAuth2 ACS认证绕开漏洞(CVE-2022-22955,CVE-2022-22956),及其2个 JDBC 引入远程控制代码执行漏洞(CVE-2022-22957,CVE-2022-22958)。
值得一提的是,VMware 还修补了一些别的相对高度和轻中度比较严重漏洞。据了解,这种漏洞可被网络攻击用以跨站要求仿冒(CSRF)进攻(CVE-2022-22959),提高管理权限(CVE-2022-22960),及其没经受权获得信息(CVE-2022-22961)。
受安全性漏洞危害的 VMware 商品详细目录如下所示:
- VMware Workspace ONE Access (浏览)
- VMware真实身份管理工具(vIDM)
- VMware vRealize Automation (vRA)
- VMware云计算技术基本
- vRealize Suite (生命期管理工具)
公示最终,VMware 表明,公示公布以前,沒有看到这种漏洞在野外被利用的直接证据。
别的解决方案
VMware 的客户人群中,有一些不可以马上给其机器设备打补丁的人,对于这一状况,VMware 给予了一种临时性解决方法,规定管理人员在受影响的虚似机器设备上运作一个根据Python的脚本制作。
VMware 表明,临时性解决方法尽管简易便捷,但不可以彻底解决漏洞,并且很有可能产生超额的多元性,可是打补丁则不容易。自然,挑选打补丁或应用临时性计划方案是由客户决策,可是要想彻底清除这种漏洞,唯一方式 是运用补丁包,因而 VMware 强烈要求客户尽早打补丁。
值得一提的是,前几日,VMware 还公布了安全补丁,以处理 VMware Tanzu Application Service for VMs、VMware Tanzu Operations Manager 和 VMware Tanzu Kubernetes Grid Integrated Edition(TKGI)/中的 Spring4Shell RCE 重要漏洞。
参照文章内容:https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-vulnerabilities-in-multiple-products/