查看原文
其他

VMware:立即、马上修复这个严重的认证绕过漏洞!

Sergiu Gatlan 代码卫士 2022-11-01

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

VMware 公司提醒管理员称,应立即修复影响多款产品中影响本地域用户的认证绕过漏洞,它可导致未认证攻击者获得管理员权限。该漏洞的编号为CVE-2022-31656。

该漏洞是由 VNG Security 公司的研究员 Petrus Viet 发现的,影响 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation。VMware 将该漏洞评级为“严重”级别,CVSSv3的基本分为9.8分。

VMware 还修复了其它多个漏洞,它们可导致攻击者在未修复服务器上造成远程代码执行(CVE-2022-31658和CVE-2022-31665)和权限提升(CVE-2022-31660、CVE-2022-31661和CVE-2022-31664)后果。

VMware 公司的云基础设施安全和合规架构师 Bob Plankers 表示,“快速采取措施修复或缓解本地部署上的这些漏洞极其重要。如果你所在的组织机构使用ITIL 方法更改管理,则可视作‘紧急’变更。”


督促管理员立即修复


VMware公司提醒称,“应按照VMSA 中的指令立即修复或缓解该严重漏洞。所有环境都是不同的,对风险的容忍度也不尽相同,且具有不同的安全控制和纵深防御措施以缓解风险,因此客户必须就如何处理做出自己的决策。然而,鉴于该漏洞的严重性,我们强烈建议立即采取措施。”

受这些漏洞影响的所有VMware 产品包括:

  • VMware Workspace ONE Access (Access)

  • VMware Workspace ONE Access Connector (Access Connector)

  • VMware Identity Manager (vIDM)

  • VMware Identity Manager Connector (vIDM Connector)

  • VMware vRealize Automation (vRA)

  • VMware Cloud Foundation

  • vRealize Suite Lifecycle Manager

VMware 指出,未有证据表明CVE-2022-31656认证绕过漏洞已遭利用。VMware 公司已公布补丁下载链接并在知识库网站上发布了详细的安装指令。


应变措施


VMware 公司还为无法立即修复该漏洞的客户共享了临时应变措施。

VMware 公司要求管理员禁用除一个配置管理员以外的所有用户,并通过SSH登录,重启服务。不过,该公司不建议使用这种应变措施并指出,完全解决该漏洞的唯一方法就是修复易受攻击产品,“清除您环境中这些漏洞的唯一方法就是应用VMSA-2022-0021中提供的补丁。虽然应变措施是方便的,但并不会清除这些漏洞,而且几乎总是会引入打补丁不会引入的其它复杂问题。虽然修复或应用应变措施的决定在您,但VMware 一直强烈建议打补丁是最简单也是最可靠的解决之道。”

VMware公司还提供了一份支持文档,列出了关于该漏洞的相关问题和答复。

今年5月份,VMware 公司修复了一个几乎一样的严重漏洞,CVE-2022-22972。该漏洞由 Innotec Security 公司的研究员 Bruno López 发现,位于 Workspace ONE Access、VMware Identity Manager (vIDM) 和vRealize Automation 中。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com











推荐阅读
在线阅读版:《2022中国软件供应链安全分析报告》全文奇安信发布《2022中国软件供应链安全分析报告》 谁会成为下一个Log4j2?
【缺陷周话】第 8 期 :路径遍历
Fortinet 修复多个路径遍历漏洞
UnRAR二进制中出现路径遍历缺陷,可导致在Zimbra上执行远程代码
OWASP 企业安全控制库中存在路径遍历漏洞
开源容器化应用 Kubernetes 被曝严重的路径遍历漏洞



原文链接

https://www.bleepingcomputer.com/news/security/vmware-urges-admins-to-patch-critical-auth-bypass-bug-immediately/


题图:Pexels License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存