VMware 发布针对关键 vCenter Server RCE 漏洞的补丁

VMware 发布了安全更新，以解决 vCenter Server 中的一个严重缺陷，该缺陷可能导致在受影响的系统上远程执行代码。

该问题编号为CVE-2023-34048 （CVSS 评分：9.8），被描述为DCE/RPC 协议实现中的越界写入漏洞。

VMware在今天发布的一份公告中表示：“通过网络访问 vCenter Server 的恶意行为者可能会触发越界写入，从而可能导致远程代码执行。”

趋势科技零日计划的格里戈里·多罗德诺夫 (Grigory Dorodnov) 发现并报告了该缺陷。

VMware 表示，没有解决方法可以缓解该缺陷，并且已在该软件的以下版本中提供了安全更新 -

VMware vCenter Server 8.0（8.0U1d 或 8.0U2）

VMware vCenter Server 7.0 (7.0U3o)

VMware Cloud Foundation 5.x 和 4.x

鉴于该缺陷的严重性以及缺乏临时缓解措施，该虚拟化服务提供商表示，它还为 vCenter Server 6.7U3、6.5U3 和 VCF 3.x 提供了补丁。

最新更新进一步解决了 CVE-2023-34056（CVSS 评分：4.3），这是一个影响 vCenter Server 的部分信息泄露漏洞，可能使具有非管理权限的不良行为者能够访问未经授权的数据。

原文始发于微信公众号（小白的备忘笔记）：VMware 发布针对关键 vCenter Server RCE 漏洞的补丁