首页 > 新闻资讯 > 安全聚焦
返回上一页
关于“VMWare vRealize产品安全漏洞”的预警通报
2021.04.03

      近日,国资国企安全响应中心(CASRC)监测发现VMware 官方发布安全公告,披露了CVE-2021-21975(VMware vRealize Operations Manager API SSRF)和CVE-2021-21983(VMware vRealize OperationsManager API任意文件写入漏洞)。攻击者结合两个漏洞构造恶意请求,可在无需认证的情况下执行任意代码,控制服务器。VMware是一家云基础架构和移动商务解决方案厂商,vRealizeOperations Manager是vmware 官方提供的针对vmware虚拟化平台的一套运维管理解决方案。鉴于相关漏洞潜在危害程度较高,建议用户核查vRealizeOperations Manager使用情况,及时修补漏洞,消除安全隐患。



      一、漏洞详情



      (一)CVE-2021-21975(服务器端请求伪造漏洞)【高危】


      组件:
      cloud_foundation,vrealize_suite_lifecycle_manager,vrealize_operations_manager。
      影响:攻击者可以传递特定参数,使得服务端发起请求,该漏洞可以造成管理员身份信息窃取,以及绕过部分功能的权限控制。

      (二)CVE-2021-21983(文件写入漏洞)【高危】


      组件:vrealize_suite_lifecycle_manager,cloud
_foundation,vrealize_operations_manager。
      影响:攻击者可以写入任意文件到服务器上。



      二、影响范围


      vmware:vrealize_operations_manager: 8.0.0, 8.0.1, 8.3.0, 8.1.0, 8.1.1, 8.2.0, 7.5.0;
      vmware:cloud_foundation:4.x,3.x;vmware:vrealize_suite_lifecycle_manager: 8.x。



      三、修复建议


      建议参考官方修复进行修复,
      vmware kb83260官方修复指引:https://kb.vmware.com/s/article/83260。
      该组件具备自动接受更新功能,在联网的情况下可以在管理后台进行升级。
      离线用户建议登录 VMWare 个人产品列表获取更新程序。



      四、相关链接


      https://www.vmware.com/security/advisories/VMSA-2021-0004.html



      (国资国企安全响应中心(CASRC)作为收集用户及自身资产相关漏洞和威胁情报的窗口,是中资网安对外发布突发安全事件处置响应的平台,旨在充分利用全社会的白帽子资源及各安全公司技术优势,以平台为纽带共同服务于国资国企网络信息安全,打造健康、可信赖的互联网安全生态。)

上一条 下一条