VMware修复 Cloud Foundation 中严重的RCE漏洞
编译:代码卫士
VMware 发布安全更新,修复了VMware Cloud Foundation 中的一个严重漏洞 (CVE-2022-39144)。VMware Cloud Foundation 是一个混合云平台,用于在私有或公开环境中运行企业应用。
该漏洞位于Cloud Foundation 使用的XStream 开源库中,CVSSv3评分为9.8分。未认证的威胁行动者可远程利用该漏洞,发动无需用户交互的低复杂攻击。
VMware 公司发布安全公告指出,“由于未认证端点利用XStream 在VMware Cloud Foundation (NSX-V) 中进行输入清理,因此恶意人员可在该设备的 ‘root’ 上下文中远程执行代码。”
鉴于该漏洞非常严重,VMware 还为已达生命周期的产品发布了安全更新。为解决这个漏洞,VMware 公司将XStream 更新至版本1.4.19并拦截攻击未修复服务器的任何利用尝试。
VMware 还为CVE-2022-31678发布补丁。攻击者成功执行XXE攻击后,可利用该漏洞触发拒绝服务或信息泄露。
VMware 公司还为无法立即修复设备的用户发布了临时解决方案。
VMware 公司发布单独文档,要求管理员登录Cloud Foundation 环境中的SDDC管理员虚拟机。登录后,管理员必须应用适用于vSphere (NSX-V)的NSX热补丁,将XStream 库更新至删除了攻击向量的版本1.4.19。
然而,和今天发布的安全更新不同,该缓解措施将要求管理员在“创建新的VI工作负载域时”,经历这些步骤。
本月早些时候,VMware 公司通知更新至vCenter Server 8.0(最新版本)的客户称,必须等待更多的时间获得近1年前(2021年11月)披露的一个高危提权漏洞。
VMware:立即、马上修复这个严重的认证绕过漏洞!
8个月后,VMware 终于开始修复这个 vCenter 服务器缺陷
VMware多款产品中存在两个严重漏洞,美国国土安全部要求联邦机构5天内修复
VMware Cloud Director 严重漏洞可使整个云基础设施遭接管
https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-cloud-foundation-remote-code-execution-bug/
题图:火星上的日落,NASA
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。