VMware发布安全更新，修复可获取机密信息的关键漏洞

VMware 已针对多个产品发布了安全更新，以解决一个可被利用来访问机密信息的严重漏洞。

跟踪为CVE-2021-22002（CVSS 评分：8.6）和CVE-2021-22003（CVSS 评分：3.7），这些缺陷影响 VMware Workspace One Access (Access)、VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA) 、VMware Cloud Foundation 和 vRealize Suite Lifecycle Manager。

CVE-2021-22002 涉及 VMware Workspace One Access 和 Identity Manager 如何通过篡改主机标头来允许通过端口 443 访问“/cfg”Web 应用程序和诊断端点的问题，从而导致服务器端请求。

该公司在其公告中表示： “具有对端口 443 的网络访问权限的恶意行为者可能会篡改主机标头以促进对 /cfg Web 应用程序的访问，此外，恶意行为者还可以在未经身份验证的情况下访问 /cfg 诊断端点。” Trendyol 的 Suleyman Bayir 被认为报告了这个缺陷。

VMware 还解决了一个信息泄露漏洞，该漏洞通过端口 7443 上无意暴露的登录界面影响 VMware Workspace One Access 和 Identity Manager。具有对端口 7443 的网络访问权限的攻击者可能会发起暴力攻击，该公司指出：“根据目标帐户的锁定策略配置和密码复杂性，可能实用，也可能不实用。”

对于无法升级到最新版本的客户，VMware为 CVE-2021-22002提供了一个解决方法脚本，该脚本可以独立部署而无需使 vRA 设备脱机。“该解决方法禁用了解析 vIDM 配置页面的能力。该端点未在 vRA 7.6 环境中使用，不会对功能造成任何影响，”该公司表示。

原文来自: thehackernews.com