VMware發(fā)布安全漏洞的詳細(xì)信息:VMware還修補(bǔ)了CVE-2021-21983

VMware已通過補(bǔ)丁修復(fù)數(shù)據(jù)中心安全軟件中的身份驗(yàn)證繞過漏洞。該安全更新應(yīng)盡快安裝。

VMware Carbon Black Cloud Workload是Linux數(shù)據(jù)中心安全軟件，旨在保護(hù)虛擬化環(huán)境中運(yùn)行的工作負(fù)載。VMware現(xiàn)在修復(fù)了VMware Carbon Black Cloud工作負(fù)載設(shè)備中的一個嚴(yán)重漏洞，該漏洞可能使攻擊者在利用易受攻擊的服務(wù)器之后繞過身份驗(yàn)證。

相關(guān)閱讀：vmware workstation 14 密鑰及Pro注冊

VMware vRealize中的兩個漏洞

VMware還發(fā)布了有關(guān)VMware vRealize Operations中兩個新披露的漏洞的安全公告VMSA-2021-0004。Tenable的安全專家Satnam Naran評論：

安全分析師發(fā)現(xiàn)了VMware vRealize Operations(vROP)中的多個漏洞。最嚴(yán)重的漏洞CVE-2021-21975是vROPs Manager API中的服務(wù)器端請求偽造(SSRF)漏洞。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以通過將特制請求發(fā)送到易受攻擊的vROPs Manager API端點(diǎn)來利用此漏洞。如果成功利用，則攻擊者將獲得管理憑據(jù)。

VMware還修補(bǔ)了CVE-2021-21983，這是vROPs Manager API中的任意文件寫入漏洞，可用于將文件寫入底層操作系統(tǒng)。此漏洞在身份驗(yàn)證之后發(fā)生，這意味著攻擊者必須使用管理憑據(jù)進(jìn)行身份驗(yàn)證才能利用此漏洞。

這些漏洞似乎沒有像CVE-2021-21972一樣嚴(yán)重，CVE-2021-21972是2月份修復(fù)的VMware vCenter Server中的遠(yuǎn)程執(zhí)行代碼漏洞。但是，如果攻擊者將CVE-2021-21975和CVE-2021-21983鏈接在一起，他們還可以獲得遠(yuǎn)程代碼執(zhí)行特權(quán)。

VMware在vROPs Manager 7.5.0到8.3.0版本中為這兩個漏洞提供了補(bǔ)丁。還提供了一種臨時解決方法，以防止攻擊者利用這些漏洞。解決方法僅應(yīng)用作臨時權(quán)宜之計(jì)，直到組織能夠安排補(bǔ)丁程序的應(yīng)用程序?yàn)橹埂?/p>