VMware 修复严重的ESXi和vRealize 漏洞
编译:代码卫士
CVE-2022-31705是VMware ESXi 堆界外写漏洞,CVSS评分9.3,“在虚拟机上具有本地管理员权限的恶意人员可利用该漏洞,在虚拟机VMX进程于主机上运行时执行代码。在ESXi上,该利用包含在VMX沙箱上;而在Workstation 和 Fusion 上,该漏洞可被用于在安装Workstation 或 Fusion 的机器上执行代码。”
该漏洞影响如下产品:
ESXi 8.0 (在ESXi 8.0a-20842819中修复)
ESXi 7.0 (在7.0U3i-20842708中修复)
Fusion 12.x(在12.2.5中修复)
Workstation 16.x(在16.2.5中修复)
Cloud Foundation 4.x/3.x(在KB90336中修复)
VMware Fusion 13.x 和 Workstation 17.x 并不受该漏洞影响。
由于CVE-2022-31705 位于USB 2.0控制器 (EHCI) 中,因此对于无法应用该安全更新的推荐缓解措施是从实例中删除该USB控制器。
VMware已发布关于如何在VMware ESXi 虚拟机上应用该缓解措施的详细指南,该指南也适用于Cloud Foundation 套件。
对于VMware Workstation 和VMware Fusion,应遵从如下步骤:
对于Fusion:
1、 选择Window > Virtual Machine 库。
2、 在Virtual Machine 库窗口中选择一个虚拟机并点击“设置”。
3、 点击“设置”窗口中“可删除设备”下的“USB & 蓝牙”。
4、 在高级USB选项下,点击“删除USB控制器”。
5、 点击确认对话框中的“删除”。
对于Workstation 而言:
1、 选择“库”面板中的一台虚拟机并选择VM>设置。
2、 在虚拟机设置对框中,进入“硬件”标签。
3、 选择USB控制器入口并点击“删除”。
VMware 公司还在另外一份安全公告中,详述了CVE-2022-31702的详情。它是一个严重漏洞,CVSS评分9.8,位于vRealize Network Insight 版本6.2到6.7。
该安全通告还提到了一个严重程度稍轻(CVSS 7.5分)的一个目录遍历漏洞CVE-2022-31703,它可导致攻击者从服务器中读取任意文件,影响产品和以上提到的一致。
VMware vRealize Network Insight 6.8.0 并不受这些漏洞影响。
VMware 已发布安全更新,修复了所有受影响产品版本。
目前尚不存在缓解措施,建议升级至最新可用版本。
VMware修复 Cloud Foundation 中严重的RCE漏洞
这个VMware vCenter Server漏洞去年就已发现,至今仍未修复
VMware:立即、马上修复这个严重的认证绕过漏洞!
8个月后,VMware 终于开始修复这个 vCenter 服务器缺陷
https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-esxi-and-vrealize-security-flaws/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。