VMware:立即、马上修复这个严重的认证绕过漏洞!

admin 2022年8月3日23:16:44安全新闻评论18 views1934字阅读6分26秒阅读模式

VMware:立即、马上修复这个严重的认证绕过漏洞! 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

VMware:立即、马上修复这个严重的认证绕过漏洞!

VMware 公司提醒管理员称,应立即修复影响多款产品中影响本地域用户的认证绕过漏洞,它可导致未认证攻击者获得管理员权限。该漏洞的编号为CVE-2022-31656。

该漏洞是由 VNG Security 公司的研究员 Petrus Viet 发现的,影响 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation。VMware 将该漏洞评级为“严重”级别,CVSSv3的基本分为9.8分。

VMware 还修复了其它多个漏洞,它们可导致攻击者在未修复服务器上造成远程代码执行(CVE-2022-31658和CVE-2022-31665)和权限提升(CVE-2022-31660、CVE-2022-31661和CVE-2022-31664)后果。

VMware 公司的云基础设施安全和合规架构师 Bob Plankers 表示,“快速采取措施修复或缓解本地部署上的这些漏洞极其重要。如果你所在的组织机构使用ITIL 方法更改管理,则可视作‘紧急’变更。”


VMware:立即、马上修复这个严重的认证绕过漏洞!
督促管理员立即修复
VMware:立即、马上修复这个严重的认证绕过漏洞!


VMware公司提醒称,“应按照VMSA 中的指令立即修复或缓解该严重漏洞。所有环境都是不同的,对风险的容忍度也不尽相同,且具有不同的安全控制和纵深防御措施以缓解风险,因此客户必须就如何处理做出自己的决策。然而,鉴于该漏洞的严重性,我们强烈建议立即采取措施。”

受这些漏洞影响的所有VMware 产品包括:

  • VMware Workspace ONE Access (Access)

  • VMware Workspace ONE Access Connector (Access Connector)

  • VMware Identity Manager (vIDM)

  • VMware Identity Manager Connector (vIDM Connector)

  • VMware vRealize Automation (vRA)

  • VMware Cloud Foundation

  • vRealize Suite Lifecycle Manager

VMware 指出,未有证据表明CVE-2022-31656认证绕过漏洞已遭利用。VMware 公司已公布补丁下载链接并在知识库网站上发布了详细的安装指令。


VMware:立即、马上修复这个严重的认证绕过漏洞!
应变措施
VMware:立即、马上修复这个严重的认证绕过漏洞!


VMware 公司还为无法立即修复该漏洞的客户共享了临时应变措施

VMware 公司要求管理员禁用除一个配置管理员以外的所有用户,并通过SSH登录,重启服务。不过,该公司不建议使用这种应变措施并指出,完全解决该漏洞的唯一方法就是修复易受攻击产品,“清除您环境中这些漏洞的唯一方法就是应用VMSA-2022-0021中提供的补丁。虽然应变措施是方便的,但并不会清除这些漏洞,而且几乎总是会引入打补丁不会引入的其它复杂问题。虽然修复或应用应变措施的决定在您,但VMware 一直强烈建议打补丁是最简单也是最可靠的解决之道。”

VMware公司还提供了一份支持文档,列出了关于该漏洞的相关问题和答复。

今年5月份,VMware 公司修复了一个几乎一样的严重漏洞,CVE-2022-22972。该漏洞由 Innotec Security 公司的研究员 Bruno López 发现,位于 Workspace ONE Access、VMware Identity Manager (vIDM) 和vRealize Automation 中。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

在线阅读版:《2022中国软件供应链安全分析报告》全文
奇安信发布《2022中国软件供应链安全分析报告》 谁会成为下一个Log4j2?
【缺陷周话】第 8 期 :路径遍历
Fortinet 修复多个路径遍历漏洞
UnRAR二进制中出现路径遍历缺陷,可导致在Zimbra上执行远程代码
OWASP 企业安全控制库中存在路径遍历漏洞
开源容器化应用 Kubernetes 被曝严重的路径遍历漏洞



原文链接

https://www.bleepingcomputer.com/news/security/vmware-urges-admins-to-patch-critical-auth-bypass-bug-immediately/


题图:Pexels License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




VMware:立即、马上修复这个严重的认证绕过漏洞!
VMware:立即、马上修复这个严重的认证绕过漏洞!

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   VMware:立即、马上修复这个严重的认证绕过漏洞! 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):VMware:立即、马上修复这个严重的认证绕过漏洞!

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月3日23:16:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  VMware:立即、马上修复这个严重的认证绕过漏洞! http://cn-sec.com/archives/1220031.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: