聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞位于Cloud Foundation 使用的XStream 开源库中,CVSSv3评分为9.8分。未认证的威胁行动者可远程利用该漏洞,发动无需用户交互的低复杂攻击。
VMware 公司发布安全公告指出,“由于未认证端点利用XStream 在VMware Cloud Foundation (NSX-V) 中进行输入清理,因此恶意人员可在该设备的 ‘root’ 上下文中远程执行代码。”
鉴于该漏洞非常严重,VMware 还为已达生命周期的产品发布了安全更新。为解决这个漏洞,VMware 公司将XStream 更新至版本1.4.19并拦截攻击未修复服务器的任何利用尝试。
VMware 还为CVE-2022-31678发布补丁。攻击者成功执行XXE攻击后,可利用该漏洞触发拒绝服务或信息泄露。
VMware 公司还为无法立即修复设备的用户发布了临时解决方案。
VMware 公司发布单独文档,要求管理员登录Cloud Foundation 环境中的SDDC管理员虚拟机。登录后,管理员必须应用适用于vSphere (NSX-V)的NSX热补丁,将XStream 库更新至删除了攻击向量的版本1.4.19。
然而,和今天发布的安全更新不同,该缓解措施将要求管理员在“创建新的VI工作负载域时”,经历这些步骤。
本月早些时候,VMware 公司通知更新至vCenter Server 8.0(最新版本)的客户称,必须等待更多的时间获得近1年前(2021年11月)披露的一个高危提权漏洞。
https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-cloud-foundation-remote-code-execution-bug/
题图:火星上的日落,NASA
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):VMware修复 Cloud Foundation 中严重的RCE漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论