紧急安全更新:思科和 VMware 解决关键漏洞

admin 2023年6月10日07:42:07评论69 views字数 2480阅读8分16秒阅读模式

紧急安全更新:思科和 VMware 解决关键漏洞

VMware 已发布安全更新,以修复 Aria Operations for Networks 中可能导致信息泄露和远程代码执行的三个缺陷。

这三个漏洞中最严重的是一个被跟踪为CVE-2023-20887(CVSS 评分:9.8)的命令注入漏洞,它可能允许具有网络访问权限的恶意行为者实现远程代码执行。

VMware 还修补了另一个反序列化漏洞CVE-2023-20888 ),该漏洞在 CVSS 评分系统中的评分为 9.1(满分 10)。

该公司在一份公告中表示:“具有 VMware Aria Operations for Networks 网络访问权限和有效‘成员’角色凭证的恶意行为者可能能够执行反序列化攻击,从而导致远程代码执行。”

第三个安全缺陷是高严重性信息泄露漏洞(CVE-2023-20889,CVSS 评分:8.8),可能允许具有网络访问权限的攻击者执行命令注入攻击并获得对敏感数据的访问权限。

影响 VMware Aria Operations Networks 版本 6.x 的三个缺点已在以下版本中得到修复:6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9 和 6.10。没有缓解这些问题的解决方法。

该警报发布之际,思科发布了针对其 Expressway 系列和 TelePresence 视频通信服务器 (VCS) 中严重缺陷的修复程序,该缺陷可能“允许具有管理员级别只读凭据的经过身份验证的攻击者将其权限提升为具有读写凭据的管理员一个受影响的系统。”

特权升级缺陷(CVE-2023-20105,CVSS 评分:9.6)表示,源于对密码更改请求的不正确处理,从而允许攻击者更改系统上任何用户的密码,包括管理读写用户,然后模拟该用户。

同一产品中的第二个高危漏洞(CVE-2023-20192,CVSS 评分:8.4)可能允许经过身份验证的本地攻击者执行命令和修改系统配置参数。

作为 CVE-2023-20192 的解决方法,思科建议客户禁用只读用户的 CLI 访问。这两个问题已分别在 VCS 版本 14.2.1 和 14.3.0 中得到解决。

虽然没有证据表明上述任何缺陷已被滥用,但强烈建议尽快修补漏洞以减轻潜在风险。

该公告还发现了RenderDoc三个安全漏洞( CVE-2023-33863CVE-2023-33864CVE-2023-33865),这是一个开源图形调试器,可能允许公告获得提升的特权和执行任意代码。

>>>等级保护<<<
开启等级保护之路:GB 17859网络安全等级保护上位标准
网络安全等级保护:什么是等级保护?
网络安全等级保护:等级保护工作从定级到备案
网络安全等级保护:等级测评中的渗透测试应该如何做
网络安全等级保护:等级保护测评过程及各方责任
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:信息技术服务过程一般要求
网络安全等级保护:浅谈物理位置选择测评项
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
闲话等级保护:什么是网络安全等级保护工作的内涵?
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
闲话等级保护:测评师能力要求思维导图
闲话等级保护:应急响应计划规范思维导图
闲话等级保护:浅谈应急响应与保障
闲话等级保护:如何做好网络总体安全规划
闲话等级保护:如何做好网络安全设计与实施
闲话等级保护:要做好网络安全运行与维护
闲话等级保护:人员离岗管理的参考实践
信息安全服务与信息系统生命周期的对应关系
>>>工控安全<<<
工业控制系统安全:信息安全防护指南
工业控制系统安全:工控系统信息安全分级规范思维导图
工业控制系统安全:DCS防护要求思维导图
工业控制系统安全:DCS管理要求思维导图
工业控制系统安全:DCS评估指南思维导图
工业控制安全:工业控制系统风险评估实施指南思维导图
工业控制系统安全:安全检查指南思维导图(内附下载链接)
业控制系统安全:DCS风险与脆弱性检测要求思维导图


>>>数据安全<<<
数据治理和数据安全
数据安全风险评估清单
成功执行数据安全风险评估的3个步骤
美国关键信息基础设施数据泄露的成本
备份:网络和数据安全的最后一道防线
数据安全:数据安全能力成熟度模型
数据安全知识:什么是数据保护以及数据保护为何重要?
信息安全技术:健康医疗数据安全指南思维导图
金融数据安全:数据安全分级指南思维导图
金融数据安全:数据生命周期安全规范思维导图


>>>供应链安全<<<
美国政府为客户发布软件供应链安全指南
OpenSSF 采用微软内置的供应链安全框架
供应链安全指南:了解组织为何应关注供应链网络安全
供应链安全指南:确定组织中的关键参与者和评估风险
供应链安全指南:了解关心的内容并确定其优先级
供应链安全指南:为方法创建关键组件
供应链安全指南:将方法整合到现有供应商合同中
供应链安全指南:将方法应用于新的供应商关系
供应链安全指南:建立基础,持续改进。
思维导图:ICT供应链安全风险管理指南思维导图
英国的供应链网络安全评估


>>>其他<<<
网络安全十大安全漏洞
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图
网络安全等级保护:应急响应计划规范思维导图
安全从组织内部人员开始
VMware 发布9.8分高危漏洞补丁
影响2022 年网络安全的五个故事
2023年的4大网络风险以及如何应对
网络安全知识:物流业的网络安全
网络安全知识:什么是AAA(认证、授权和记账)?
美国白宫发布国家网络安全战略
开源代码带来的 10 大安全和运营风险
不能放松警惕的勒索软件攻击
10种防网络钓鱼攻击的方法
5年后的IT职业可能会是什么样子?
累不死的IT加班人:网络安全倦怠可以预防吗?
网络风险评估是什么以及为什么需要
美国关于乌克兰战争计划的秘密文件泄露
五角大楼调查乌克兰绝密文件泄露事件
湖南网安适用《数据安全法》对多个单位作出行政处罚
如何减少制造攻击面的暴露
来自不安全的经济、网络犯罪和内部威胁三重威胁
2023 年OWASP Top 10 API 安全风险
全国网络安全等级测评与检测评估机构目录(6月6日更新)


原文始发于微信公众号(祺印说信安):紧急安全更新:思科和 VMware 解决关键漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月10日07:42:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   紧急安全更新:思科和 VMware 解决关键漏洞http://cn-sec.com/archives/1794261.html

发表评论

匿名网友 填写信息