VMware 發布多個產品的安全更新

風險等級: 高度威脅
摘 要: 弱點通告:VMware發布多個產品的安全更新,建議請管理者儘速評估更新!
影響系統:
  • VMware vRealize Operations 8.5.0 以下版本
  • VMware Cloud Foundation 3.x/4.x 版本
  • VMware vRealize Suite Lifecycle Manager 8.x 版本
解決辦法: 請參考 VMware官網建議
vRealize Operations Manager 8.5.0 (含)更新版本或相對應之安全更新檔
Cloud Foundation 3.x/4.x 安全更新檔
vRealize Suite Lifecycle Manager 8.x 安全更新檔
細節描述: CVE-2021-22022 攻擊者能獲取管理訪問權限,可以讀取伺服器上的任何任意文件。
CVE-2021-22023 攻擊者能獲取管理訪問權限,可能修改伺服器上的任何任意文件。
CVE-2021-22024 通過訪問 vRealize Operations Manager API,不須身分驗證,可以讀取任意 log。
CVE-2021-22025 通過訪問 vRealize Operations Manager API,不須身分驗證,可以向現有 vROps 群組添加新節點。
CVE-2021-22026、CVE-2021-22027 通過訪問 vRealize Operations Manager API,不須身分驗證,可以在伺服器上執行指令。
參考資訊: us-cert
vmware