【漏洞通告】VMware vCenter Server多个漏洞

VMware vCenter Server是美国威睿（VMware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。

2021年5月25日，深信服安全团队监测到一则VMware官方发布安全补丁的通告，共修复了2个安全漏洞，其中包含1个严重漏洞的信息。

VMware vCenter Server 远程代码执行漏洞 CVE-2021-21985：

该漏洞是由于Virtual SAN缺少输入验证，vSphere Client（HTML5）包含一个远程执行代码漏洞，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行，最终可获取服务器最高权限。

可能受漏洞影响的资产广泛分布于世界各地，国内省份中受影响资产分布于广东、江苏、浙江等省市。

目前受影响的VMware vCenter Server版本：

VMware vCenter Server 7.0

VMware vCenter Server 6.7

VMware vCenter Server 6.5

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：

https://www.vmware.com/security/advisories/VMSA-2021-0010.html

重要提示：插件必须设置为“不兼容”。从UI内禁用插件不会阻止利用。

在运行vCenter High Availability（VCHA）的环境中，必须在主动节点和被动节点上都执行以下操作。

将以下各行添加到compatible-matrix.xml文件中，以禁用每个单独的插件

默认情况下会启用某些插件，并且这些默认插件因系统版本而异。请参考下表以确定默认情况下启用了哪个插件，以及哪个插件需要安装和配置。

Default = 默认情况下，所有vCenter上均启用插件 

Product = 仅在安装和配置了关联产品后才启用插件

在基于Linux的虚拟设备（vCSA）上禁用vCenter Server插件

1.  使用SSH会话和root凭据连接到vCSA。

2. 备份/etc/vmware/vsphere-ui/compatibility-matrix.xml文件：

cp -v /etc/vmware/vsphere-ui/compatibility-matrix.xml etc/vmware/vsphere-ui/compatibility-matrix.xml.backup

3. 在文本编辑器中打开compatibility-matrix.xml文件：

vi /etc/vmware/vsphere-ui/compatibility-matrix.xml

*注意：未编辑文件的内容应类似于下图

4.  要禁用所有具有已知漏洞的插件，请添加以下行，如下所示：

注意：这些条目应添加在上面突出显示的-> 和<！-条目之间。

<PluginPackage id="com.vmware.vrops.install" status="incompatible"/> <PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/> <PluginPackage id="com.vmware.vrUi" status="incompatible"/> <PluginPackage id="com.vmware.vum.client" status="incompatible"/> <PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>

*注意：该文件应如下所示：

5. 保存并关闭compatible-matrix.xml文件：

:wq!

6. 使用以下命令停止并重新启动vsphere-ui服务： 

service-control --stop vsphere-ui service-control --start vsphere-ui

在vSphere Client（HTML5）中，可以在 管理 >解决方案>客户端插件 下将VMware Virtual SAN运行状况检查插件视为不兼容，如下所示：

7.0视图

6.7视图

在基于Windows的vCenter Server部署中禁用vCenter Server插件

1. RDP到基于Windows的vCenter Server。

2. 备份C:ProgramDataVMwarevCenterServercfgvsphere-uicompatibility-matrix.xml文件。

3. 在文本编辑器中打开compatibility-matrix.xml文件：

*注意：未编辑文件的内容应类似于以下内容：

4.要禁用所有具有已知漏洞的插件，请添加以下行，如下所示：

*注意：这些条目应添加在-> 和<！- 条目上方上方突出显示的

<PluginPackage id="com.vmware.vrops.install" status="incompatible"/> <PluginPackage id="com.vmware.vsphere.client.h5vsan" status="incompatible"/> <PluginPackage id="com.vmware.vrUi" status="incompatible"/> <PluginPackage id="com.vmware.vum.client" status="incompatible"/> <PluginPackage id="com.vmware.h4.vsphere.client" status="incompatible"/>

*注意：该文件应如下所示：

5.保存并关闭文件。
6.在Windows命令提示符下，使用以下命令停止并重新启动vsphere-ui服务：

C:Program FilesVMwarevCenter Serverbin> service-control --stop vsphere-ui

C:Program FilesVMwarevCenter Serverbin> service-control --start vsphere-ui

在vSphere Client（HTML 5）中，可以在“管理” >“解决方案” >“客户端插件”下将禁用的插件视为不兼容，如下所示：

更多临时修复建议参考链接：https://kb.vmware.com/s/article/83829

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。