聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
vCenter Server 是VMware vSphere 套件的中心管理枢纽,帮助管理员管理和监控虚拟化的基础设施。该漏洞由趋势科技ZDI计划的研究员 Grigory Dorodnov 发现并提交,产生原因在于 vCenter 的 DCE/RFC 协议实现中存在一个界外写弱点。
未认证攻击者可在复杂度较低的攻击中远程利用该漏洞且无需任何用户交互。该公司表示,目前尚未由证据表明该漏洞已遭利用。目前补丁通过 vCetner Server 更新机制正常推送。由于该漏洞的评级为严重,因此VMware 还为多个已达生命周期的不在主动支持范围内的产品发布补丁。
VMware 公司提到,“虽然VMware 未在 VMware 安全公告中提到已达生命周期的产品,但鉴于漏洞的严重性以及缺少缓解措施,VMware 也为 vCenter Server 6.7U3、6.5U3和VCF 3.x发布了补丁。同样,VMware 也为 vCenter Server 8.0U1以及同步为VCF 5.x和4.x部署发布了补丁。”
由于目前不存在应变措施,VMware 督促管理员严格控制对 vSphere 管理组件和接口(包括存储和网络组件)的网络边界访问权限。
与该漏洞相关的潜在攻击利用的具体网络端口是 2012/tcp、2014/tcp和 2020/tcp。
另外,VMware 还修复了一个CVSS评分为4.3的部分信息泄露漏洞CVE-2023-34056。该漏洞可被具有非管理员权限的威胁行动者用于访问 vCenter 服务器,访问敏感数据。
VMware 在一份问答文档中提到,“这是一次紧急变更,组织机构应当迅速行动。不过,所有安全响应都取决于具体情况。请咨询所在组织机构的信息安全员工,做出相应行动。”
6月份,VMware 修复了多个高危的 vCenter Server 漏洞,缓解了代码执行和认证绕过风险。同一周,VMware 还修复了另外一个严重的漏洞。
戴尔 Compellent 硬编码密钥暴露 VMware vCenter 管理员凭据
VMware 修复 vRealize 网络分析工具中的严重漏洞
https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-code-execution-flaw-in-vcenter-server/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):VMware 修复严重的 vCenter Server 代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论