查看原文
其他

VMware修复vCenter服务器中的RCE漏洞

代码卫士 2022-04-06


VMware已为vCenter服务器产品发布了补丁,解决因使用易受攻击的第三方组件而引发的一个远程代码执行漏洞。


本月初,CERT/CC告知用户称来自Code White公司的资深渗透测试人员Markus Wulftange在Adobe最新版本的AMF3的多个Java实现中发现了三个潜在的严重反序列化漏洞。这些漏洞可被用来发动DoS攻击、执行远程代码并获取敏感信息。受影响的软件包括Apache的Flex BlazeDS、Atlassian的JIRA、Exadel的Flamingo、GraniteDS、Spring spring-flex和WebORB for Java。


其中一个BlazeDS漏洞CVE-2017-5641影响VMware vCenter服务器,它使用BlazeDS处理AMF3信息。VMware在安全公告中指出,这个问题出现在CEIP功能中。如果消费者已退出CEIP,这个漏洞还是会存在。这个漏洞影响vCenter 服务器6.0和6.5版本,而版本5.5或其它VMware产品并未受影响。VMware建议用户应用6.5c和6.0U3b补丁解决这个漏洞问题。


CERT/CC指出,这些反序列化漏洞还影响HPE和SonicWall产品。



本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存