漏洞名称 : VMware多个漏洞通告
组件名称 : VMware vRealize Operations Manager
安全公告链接 :
https://www.vmware.com/security/advisories/VMSA-2021-0018.html
漏洞分析
1 组件介绍
vRealize Operations Manager是VMware 官方提供的针对VMware虚拟化平台的一套运维管理解决方案。
2 漏洞简介
2021年8月24日,深信服安全团队监测到VMware官方发布安全更新的通告,共修复了6个安全漏洞,其中包含4个高危漏洞的信息。
|
序号 |
漏洞名称 |
|
严重 等级 |
影响版本 |
|
1 |
vRealize Operations Manager API 中的服务器端请求伪造漏洞 |
CVE-2021-22027 |
高危 |
vRealize Operations Manager8.4.0 vRealize Operations Manager8.3.0 vRealize Operations Manager8.2.0 vRealize Operations Manager8.1.1、8.1.0 vRealize Operations Manager8.0.1、8.0.0 vRealize Operations Manager7.5.0 VMware Cloud Foundation (vROps)4.x VMware Cloud Foundation (vROps)3.x vRealize Suite Lifecycle Manager (vROps)8.x |
|
2 |
vRealize Operations Manager API 中的服务器端请求伪造漏洞 |
CVE-2021-22026 |
高危 |
|
|
3 |
vRealize Operations Manager API 中的访问控制中断漏洞 |
CVE-2021-22025 |
高危 |
|
|
4 |
vRealize Operations Manager API 中的任意日志文件读取漏洞 |
CVE-2021-22024 |
高危 |
|
|
5 |
vRealize Operations Manager API 中的不安全直接对象引用漏洞 |
CVE-2021-22023 |
中危 |
|
|
6 |
vRealize Operations Manager API 中的任意文件读取漏洞 |
CVE-2021-22022 |
中危 |
3 高危漏洞描述
CVE-2021-22027:vRealize Operations Manager API 中的服务器端请求伪造漏洞
该漏洞是由于vRealize Operations Manager API存在服务器请求伪造漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行服务器请求伪造攻击,最终可造成服务器敏感性信息泄露。
CVE-2021-22026:vRealize Operations Manager API 中的服务器端请求伪造漏洞
该漏洞是由于vRealize Operations Manager API存在服务器请求伪造漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行服务器请求伪造攻击,最终可造成服务器敏感性信息泄露。
CVE-2021-22025:vRealize Operations Manager API 中的访问控制中断漏洞
该漏洞是由于vRealize Operations Manager API存在访问控制漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行越权访问攻击,最终可以控制vROps 群集添加节点。
CVE-2021-22024:vRealize Operations Manager API 中的任意日志文件读取漏洞
该漏洞是由于vRealize Operations Manager API存在日志文件读取漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行日志文件读取攻击,最终可造成服务器敏感性信息泄露。
影响范围
vRealize Operations Manager资产分布世界各地,主要集中在美国、中国、新加坡等国家,国内主要分布在北京、上海、江苏等省市。
目前受影响的vRealize Operations Manager版本:
vRealize Operations Manager 8.4.0
vRealize Operations Manager 8.3.0
vRealize Operations Manager 8.2.0
vRealize Operations Manager 8.1.1、8.1.0
vRealize Operations Manager 8.0.1、8.0.0
vRealize Operations Manager 7.5.0
VMware Cloud Foundation (vROps) 4.x
VMware Cloud Foundation (vROps) 3.x
vRealize Suite Lifecycle Manager (vROps) 8.x
解决方案
1 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.vmware.com/security/advisories/VMSA-2021-0018.html
时间轴
2021/8/24 深信服监测到VMware官方发布安全更新公告。
2021/8/26 深信服千里目安全实验室发布漏洞通告。
参考链接
https://www.vmware.com/security/advisories/VMSA-2021-0018.html
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):【安全公告】VMware多个漏洞通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论