VMware发布了多个产品的安全更新,以解决一个严重的漏洞,该漏洞可被利用来访问机密信息,结果为cve-2021-22002(CVss分数:8.6)和cve-2021-22003(CVss分数:3.7)。这些缺陷影响VMware workspace one access(访问)、VMware Identity Manager(VIDM)、VMware vrealize automation(VRA)、VMware cloud foundation和vrealize suite lifecycle Manager
cve-2021-22002处理VMware workspace one access和Identity Manager如何篡改主机头,以允许访问“/CFG”web应用程序,并通过端口443诊断端点问题,导致服务器端请求
该公司在其公告中称:“通过网络访问端口443的恶意参与者可能会篡改主机头,以方便访问/CFG web应用程序。此外,黑客可以在无需身份验证的情况下访问/CFG诊断端点。”
著名网络安全专家、东方联盟创始人郭盛华透露,VMware还解决了一个信息泄露漏洞,该漏洞通过端口7443上无意暴露的登录界面影响VMware workspace one access and Identity Manager。通过网络访问端口7443的攻击者可能会发起暴力攻击。该公司指出:“这取决于目标帐户的锁定策略配置和密码复杂性,可能可行,也可能不可行。”
对于无法升级到最新版本的客户,VMware为cve-2021-22002提供了一个解决方案脚本,可以独立署,而无需让VRA设备离线。该公司表示:“该解决方案禁用了解析VIDM配置页面的功能。该端点未在VRA 7.6环境中使用,不会对功能产生任何影响。”。(欢迎转载和分享)
免责声明:文中图片均来源于网络,如有版权问题请联系我们进行删除!
