《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業界動態 > CNNVD | 關于VMware vCenter Server多個安全漏洞的預警

CNNVD | 關于VMware vCenter Server多個安全漏洞的預警

2021-09-25
來源: 中國信息安全
關鍵詞: 安全漏洞 預警

  近日,VMware 官方發布了多個安全漏洞公告,包括VMware vCenterServer 授權問題漏洞(CNNVD-202109-1479、CVE-2021-22017)、VMware vCenterServer 權限許可和訪問控制問題漏洞(CNNVD-202109-1482、CVE-2021-21991)等9個漏洞。VMware vCenterServer 6.5、VMware vCenterServer 6.7、VMware vCenterServer 7.0版本均受漏洞影響。成功利用上述漏洞的攻擊者無需用戶交互及認證即可實現遠程代碼攻擊,最終完全控制相關設備。目前,VMware官方已經發布漏洞修復補丁,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。

  一、漏洞介紹

  VMware vCenter Server是美國威睿(Vmware)公司的一套服務器和虛擬化管理軟件。該軟件提供了一個用于管理VMware vSphere環境的集中式平臺,可自動實施和交付虛擬基礎架構。

  1、VMware vCenter Server 授權問題漏洞(CNNVD-202109-1479、CVE-2021-22017)

  VMware vCenter Server 存在授權問題漏洞,該漏洞源于對URL規范化存在缺陷。遠程攻擊者可利用該漏洞發送一個特制的URL,繞過認證并訪問內部端點。

  2、VMware vCenter Server 權限許可和訪問控制問題漏洞(CNNVD-202109-1482、CVE-2021-21991)

  VMware vCenter Server 存在權限許可和訪問控制問題漏洞,該漏洞源于vCenter Server處理會話令牌的方式存在問題。本地用戶可以通過vSphere Client(HTML5)或vCenter ServervSphere Web Client (FLEX Flash)將用戶權限升級為管理員權限。

  3、VMware vCenter Server 安全漏洞(CNNVD-202109-1483、CVE-2021-22015)

  VMware vCenter Server 存在安全漏洞,該漏洞源于系統設置的文件和文件夾默認權限不正確。本地用戶在vCenter Server一體機中可以將訪問權限提升為root權限。

  4、VMware vCenter Server 代碼問題漏洞(CNNVD-202109-1484、CVE-2021-21993)

  VMware vCenter Server 存在代碼問題漏洞,該漏洞源于對用戶提供的輸入驗證不足導致。遠程用戶可以發送一個特別設計的HTTP請求,進而上傳文件。

  5、VMware vCenter Server 代碼問題漏洞(CNNVD-202109-1486、CVE-2021-22005)

  VMware vCenter Server 存在代碼問題漏洞,該漏洞源于在Analytics服務中上傳文件時文件驗證不足導致。未經身份驗證的攻擊者可以通過網絡訪問443端口,在目標系統上傳和執行任意文件。

  6、VMware vCenter Server 代碼注入漏洞(CNNVD-202109-1487、CVE-2021-22014)

  VMware vCenter Server 存在代碼注入漏洞,該漏洞源于VAMI(虛擬設備管理基礎設施)中的輸入驗證不正確。通過身份驗證的遠程VAMI用戶可以向5480端口發送一個特別設計的請求,并在目標系統上執行任意代碼。

  7、VMware vCenter Server 授權問題漏洞(CNNVD-202109-1489、CVE-2021-22006)

  VMware vCenter Server 存在授權問題漏洞,利用該漏洞遠程攻擊者可以在未經授權的情況下訪問系統。

  8、VMware vCenter Server 授權問題漏洞(CNNVD-202109-1492、CVE-2021-22011)

  VMware vCenter Server 存在授權問題漏洞,該漏洞源于vCenter ServerContent Library中API端點缺少認證。未經身份驗證的攻擊可以通過網絡訪問443端口,利用漏洞獲得對系統的訪問權限,并執行虛擬機網絡設置操作。

  9、VMware vCenter Server 授權問題漏洞(CNNVD-202109-1493、CVE-2021-22012)

  VMware vCenter Server 存在授權問題漏洞,該漏洞源于缺少對設備管理API的身份驗證。遠程未經身份驗證的攻擊者可利用該漏洞訪問443端口,從而訪問系統上的敏感信息。

  二、危害影響

  成功利用上述漏洞的攻擊者無需用戶交互及認證即可實現遠程代碼攻擊,最終完全控制相關設備。VMware vCenterServer 6.5、VMware vCenterServer 6.7、VMware vCenterServer 7.0均受漏洞影響。具體影響范圍可訪問下列鏈接進行查看:https://www.vmware.com/security/advisories/VMSA-2021-0020.html

  三、修復建議

  目前,VMware官方已經發布漏洞修復補丁,建議用戶及時確認是否受到漏洞影響,采取修補措施。官方鏈接如下:

  https://www.vmware.com/security/advisories/VMSA-2021-0020.html

  本通報由CNNVD技術支撐單位——杭州安恒信息技術股份有限公司、深信服科技股份有限公司、北京華順信安科技有限公司、北京華云安信息技術有限公司、數字觀星應急響應中心、上海斗象信息科技有限公司、天翼數智科技(北京)有限公司、銥迅安全應急響應中心、內蒙古奧創科技有限公司、新華三技術有限公司、遠江盛邦(北京)網絡安全科技股份有限公司、北京天融信網絡安全技術有限公司。

  CNNVD將繼續跟蹤上述漏洞的相關情況,及時發布相關信息。如有需要,可與CNNVD聯系。聯系方式: cnnvdvul@itsec.gov.cn




電子技術圖片.png

本站內容除特別聲明的原創文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。
主站蜘蛛池模板: 香蕉视频在线观看黄 | 久久天天| 激情五月婷婷综合网 | 亚洲欧美一区二区三区图片 | 九草在线免费观看 | 亚洲十八精品网站 | 黄色香蕉视频 | 九草视频在线 | 东京道区二区三区 | 日韩一级黄 | 欧美高清国产在线观看 | 免费观看一级成人毛片软件 | 亚洲精品福利在线 | 成人免费视频在线看 | 精品一区中文字幕 | 欧美一级片在线免费观看 | 韩国伦理剧在线看 | 亚洲免费视频播放 | 好吊色视频在线观看 | 欧美日韩亚洲第一页 | 99在线免费观看视频 | 很污的乱小说 | 欧美成人免费videos | 久草日韩 | 天堂资源网 | 久久天天躁狠狠躁夜夜免费观看 | 欧美 日韩 视频 | 天天操夜夜操美女 | 日本三级唾液浓厚在线观看 | 午夜性色吃奶添下面69影院 | 午夜 福利 视频 | 亚洲免费国产 | 666夜色666夜色国产免费看 | 欧美在线视频a | 99在线观看视频 | 欧美一区二区三区不卡免费观看 | 午夜影院免费观看视频 | 亚洲国产精久久久久久久春色 | 嫩模被xxxx视频在线观看 | 制服丝袜快播 | 韩国伦理片在线免费观看 |