| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:VMware發布多個產品的安全更新,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 請參考 VMware官網建議 vRealize Operations Manager 8.5.0 (含)更新版本或相對應之安全更新檔 Cloud Foundation 3.x/4.x 安全更新檔 vRealize Suite Lifecycle Manager 8.x 安全更新檔 |
| 細節描述: | CVE-2021-22022 攻擊者能獲取管理訪問權限,可以讀取伺服器上的任何任意文件。 CVE-2021-22023 攻擊者能獲取管理訪問權限,可能修改伺服器上的任何任意文件。 CVE-2021-22024 通過訪問 vRealize Operations Manager API,不須身分驗證,可以讀取任意 log。 CVE-2021-22025 通過訪問 vRealize Operations Manager API,不須身分驗證,可以向現有 vROps 群組添加新節點。 CVE-2021-22026、CVE-2021-22027 通過訪問 vRealize Operations Manager API,不須身分驗證,可以在伺服器上執行指令。 |
| 參考資訊: | us-cert vmware |