聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
本周三,VMware 提醒稱,「應該按照 VMSA-2021-0011 中提到的指令立即修復或緩解該嚴重漏洞。該漏洞可造成嚴重後果。所有環境都是不同的,具有不同的風險容忍度,具有不同的風險緩解安全控制和縱深防禦,因此客戶必須自行決定如何處理。然而,鑑於該漏洞的嚴重程序,我們強烈建議立即行動。」
VMware 修復的五個嚴重漏洞包括一個服務器端模板注入遠程代碼執行漏洞 (CVE-2022-22954)、兩個 OAuth2 ACS認證繞過漏洞(CVE-2022-22955和CVE-2022-22956)和兩個JDBC 注入遠程代碼執行漏洞(CVE-2022-22957和CVE-2022-22958)。
VMware 還修復了可導致跨站請求偽造的多個高中危漏洞(CVE-2022-22959)、提權漏洞(CVE-2022-22960)和未經授權的信息訪問漏洞(CVE-2022-22961)。
受這些漏洞影響的VMware 產品包括:
VMware Workspace ONE Access (Access)
VMware Identity Manager (vIDM)
VMware vRealize Automation (vRA)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
VMware 公司表示尚未發現這些漏洞遭在野利用的證據。VMware 知識庫網站也提供了已修復版本的完整清單以及熱修復安裝器的下載鏈接。
VMware 公司還為無法立即打補丁的廠商提供了應變措施作為臨時解決方案。具體操作要求管理員在受影響的虛擬設備上運行由VMware 提供的基於Python 的腳本。
然而,該公司表示完全消除這些漏洞的唯一方法就是應用補丁,「應變措施雖然方便,但無法消除漏洞,還可能引入打補丁不會產生的其它複雜問題。雖然打補丁還是應用應變措施是你的決策,但VMware 一直強烈建議打補丁,它是解決這個問題最簡單也最可靠的方法。」
本周一,VMware還發布安全更新,修復了適用於虛擬機的 VMware Tanzu Application Service、VMware Tanzu Operations Manager 以及 VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) 中的Spring4Shell RCE 缺陷。
VMware 修復多款產品中的高危漏洞
VMWare 認證軟件存在SSRF漏洞,可用於訪問用戶數據
CISA 督促VMware 管理員修復Workspace ONE UEM 中的嚴重漏洞
VMware 修復 Workstation、Fusion 和 ESXi中的多個漏洞
VMware:警惕 vSphere Web Client中的新漏洞
https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-vulnerabilities-in-multiple-products/
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表