漏洞背景
近日,嘉诚安全监测到VMware官方发布安全公告,修复了VMware Aria Operations for Logs中的一个身份验证绕过漏洞和一个反序列化漏洞。
VMware Aria Operations for Logs(以前称为 vRealize Log Insight)是一款日志分析工具,可提供高度可扩展的异构日志管理功能,具备直观且可操作的仪表板、精细的分析功能和广泛的第三方扩展功能。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
1.CNNVD-202310-1718(CVE-2023-34051)
VMware Aria Operations for Logs身份验证绕过漏洞,经研判,该漏洞为高危漏洞,目前PoC已公开。未经身份验证的恶意行为者可以通过Thrift服务将文件注入受影响设备的操作系统,从而导致远程代码执行。
2.CNNVD-202310-1715(CVE-2023-34052)
VMware Aria Operations for Logs反序列化漏洞,经研判,该漏洞为高危漏洞。对本地系统具有非管理访问权限的恶意行为者可以触发数据反序列化,从而导致身份验证绕过。
危害影响
VMware Aria Operations for Logs 8.x < 8.14
VMware Cloud Foundation (VMware Aria Operations for Logs) 5.x、4.x
修复建议
根据影响版本中的信息,建议相关用户尽快更新至安全版本:
VMware Aria Operations for Logs 8.x:升级到8.14
VMware Cloud Foundation (VMware Aria Operations for Logs) 5.x、4.x:参考KB95212
下载链接请参考:
https://customerconnect.vmware.com/en/downloads/info/slug/infrastructure_operations_management/vmware_aria_operations_for_logs/8_14
原文始发于微信公众号(嘉诚安全):【漏洞通告】VMware Aria Operations for Logs多个高危漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论