VMware 多款产品中存在严重漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

本周三，VMware 提醒称，“应该按照 VMSA-2021-0011 中提到的指令立即修复或缓解该严重漏洞。该漏洞可造成严重后果。所有环境都是不同的，具有不同的风险容忍度，具有不同的风险缓解安全控制和纵深防御，因此客户必须自行决定如何处理。然而，鉴于该漏洞的严重程序，我们强烈建议立即行动。”

VMware 修复的五个严重漏洞包括一个服务器端模板注入远程代码执行漏洞 (CVE-2022-22954)、两个 OAuth2 ACS认证绕过漏洞（CVE-2022-22955和CVE-2022-22956）和两个JDBC 注入远程代码执行漏洞（CVE-2022-22957和CVE-2022-22958）。

VMware 还修复了可导致跨站请求伪造的多个高中危漏洞（CVE-2022-22959）、提权漏洞（CVE-2022-22960）和未经授权的信息访问漏洞（CVE-2022-22961）。

受这些漏洞影响的VMware 产品包括：

VMware 公司表示尚未发现这些漏洞遭在野利用的证据。VMware 知识库网站也提供了已修复版本的完整清单以及热修复安装器的下载链接。

VMware 公司还为无法立即打补丁的厂商提供了应变措施作为临时解决方案。具体操作要求管理员在受影响的虚拟设备上运行由VMware 提供的基于Python 的脚本。

然而，该公司表示完全消除这些漏洞的唯一方法就是应用补丁，“应变措施虽然方便，但无法消除漏洞，还可能引入打补丁不会产生的其它复杂问题。虽然打补丁还是应用应变措施是你的决策，但VMware 一直强烈建议打补丁，它是解决这个问题最简单也最可靠的方法。”

本周一，VMware还发布安全更新，修复了适用于虚拟机的 VMware Tanzu Application Service、VMware Tanzu Operations Manager 以及 VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) 中的Spring4Shell RCE 缺陷。