VMware 修补了 Aria Automation 中的关键访问控制漏洞

VMware发布了Aria Automation的更新，该平台是VMware面向公有云、私有云和混合云的多云基础架构自动化平台，并修复了一个关键漏洞，该漏洞可能允许通过验证的攻击者访问远程组织和工作流。

VMware Cloud Foundation是一套用于建立私有云的软件定义服务，如果产品是基于Aria Suite Lifecycle Manager部署的，也会受到影响。

VMware将该漏洞（CVE-2023-34063）描述为 "访问控制缺失 "问题，并在CVSS严重性等级中将其评为9.9级（满分10分）。据悉，该漏洞是由私人报告的，VMware 目前尚未发现任何利用该漏洞的行为。

Aria Automation（前身为 vRealize Automation）的所有支持版本均受此漏洞影响。虽然该VMware已为每个版本发布了补丁，但强烈建议用户更新新发布的 8.16 版本。受影响的 VMware Cloud Foundation 4.x 和 5.x 部署的用户应使用 VMware Aria Suite 生命周期管理器将 VMware Aria Automation 升级到固定版本。

"要应用该补丁，您的系统必须运行主要版本的最新版本，"VMware在有关该漏洞的常见问题文档中表示："例如，如果您的系统运行的是 Aria Automation 8.12.1，那么在打补丁之前，您必须先升级到 8.12.2。打完补丁后，唯一支持的升级路径是升级到 8.16 版或更新的版本"。

Aria Automation Cloud 不受该漏洞影响，因为运行该服务的 VMware 已在服务器端实施了缓解措施。VMware vCenter、VMware ESXi 和 Aria Orchestrator 也不受影响，但需要注意的是，从 8.16 版开始，Automation Orchestrator 的访问现在由单独的 Orchestrator 服务角色管理。该公司还警告说，如果用户选择升级到中间版本，例如从 8.12.x 升级到 8.13.x，而不是升级到 8.16，那么漏洞就会重新出现，需要打新一轮的补丁。

“根据您的安全态势、纵深防御策略以及外围防火墙和设备防火墙的配置，您的企业可能还需要采取其他缓解措施和补偿控制措施。”VMware表示：“每个组织都必须自行评估是否依赖这些保护措施，以及如何针对其环境有效地配置这些措施”