查看原文
其他

VMware 修复严重的ESXi和vRealize 漏洞

Bill Toulas 代码卫士 2022-12-17

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

VMware 发布安全更新,修复了一个影响ESXi、Workstation、Fusion和Cloud Foundation 的严重漏洞 (CVE-2022-31705) 以及一个影响 vRealize Network Insight 的严重的命令注入漏洞 (CVE-2022-31702)。


CVE-2022-31705


CVE-2022-31705是VMware ESXi 堆界外写漏洞,CVSS评分9.3,“在虚拟机上具有本地管理员权限的恶意人员可利用该漏洞,在虚拟机VMX进程于主机上运行时执行代码。在ESXi上,该利用包含在VMX沙箱上;而在Workstation 和 Fusion 上,该漏洞可被用于在安装Workstation 或 Fusion 的机器上执行代码。”

该漏洞影响如下产品:

  • ESXi 8.0 (在ESXi 8.0a-20842819中修复)

  • ESXi 7.0 (在7.0U3i-20842708中修复)

  • Fusion 12.x(在12.2.5中修复)

  • Workstation 16.x(在16.2.5中修复)

  • Cloud Foundation 4.x/3.x(在KB90336中修复)

VMware Fusion 13.x 和 Workstation 17.x 并不受该漏洞影响。

由于CVE-2022-31705 位于USB 2.0控制器 (EHCI) 中,因此对于无法应用该安全更新的推荐缓解措施是从实例中删除该USB控制器。

VMware已发布关于如何在VMware ESXi 虚拟机上应用该缓解措施的详细指南,该指南也适用于Cloud Foundation 套件。

对于VMware Workstation 和VMware Fusion,应遵从如下步骤:

对于Fusion:

1、  选择Window > Virtual Machine 库。

2、  在Virtual Machine 库窗口中选择一个虚拟机并点击“设置”。

3、  点击“设置”窗口中“可删除设备”下的“USB & 蓝牙”。

4、  在高级USB选项下,点击“删除USB控制器”。

5、  点击确认对话框中的“删除”。

对于Workstation 而言:

1、 选择“库”面板中的一台虚拟机并选择VM>设置。

2、 在虚拟机设置对框中,进入“硬件”标签。

3、 选择USB控制器入口并点击“删除”。


CVE-2022-31702


VMware 公司还在另外一份安全公告中,详述了CVE-2022-31702的详情。它是一个严重漏洞,CVSS评分9.8,位于vRealize Network Insight 版本6.2到6.7。

该安全通告还提到了一个严重程度稍轻(CVSS 7.5分)的一个目录遍历漏洞CVE-2022-31703,它可导致攻击者从服务器中读取任意文件,影响产品和以上提到的一致。

VMware vRealize Network Insight 6.8.0 并不受这些漏洞影响。

VMware 已发布安全更新,修复了所有受影响产品版本。

目前尚不存在缓解措施,建议升级至最新可用版本。


代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读
VMware:速修复这三个严重的 Workspace ONE Assist 软件漏洞
VMware修复 Cloud Foundation 中严重的RCE漏洞
这个VMware vCenter Server漏洞去年就已发现,至今仍未修复
VMware:立即、马上修复这个严重的认证绕过漏洞!
8个月后,VMware 终于开始修复这个 vCenter 服务器缺陷



原文链接

https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-esxi-and-vrealize-security-flaws/


题图:Pexels License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存