如果没有网络,世界将会怎样?

这里是长春人文学院数字化校园建设规划处,有什么可以帮到您吗?

安全动态

【漏洞预警】CNNVD 关于VMware vRealize Operations多个安全漏洞的预警

发布者:     发布时间:2021-08-30     浏览次数:

近日,VMware官方发布了多个安全漏洞公告,包括VMware vRealize Operations 信息泄露漏洞(CNNVD-202108-2298 、 CVE-2021-22022)、VMware vRealize Operations 代码问题漏洞(CNNVD-202108-2299、CVE-2021-22023)等多个漏洞。VxWorks 7、VxWorks 6.5-6.9及使用Interpeak独立网络堆栈的VxWorks版本均受漏洞影响。成功利用上述漏洞的攻击者无需用户交互及认证即可实现远程代码攻击,最终完全控制相关设备。目前,VMware官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、漏洞介绍

VMware vRealize Operations是美国威睿(VMware)公司的一个应用程序。该程序是一个基于AI的统一平台中的自动驾驶式 IT 运维管理系统。

1、VMware vRealize Operations 信息泄露漏洞(CNNVD-202108-2298 、 CVE-2021-22022):

Vmware vRealize Operations Manager 存在信息泄露漏洞,该漏洞源于产品的API允许读取任意文件。

2、VMware vRealize Operations 代码问题漏洞(CNNVD-202108-2299、CVE-2021-22023):

Vmware vRealize Operations Manager 存在代码问题漏洞,该漏洞源于产品存在不安全的对象引用错误。

3、VMware vRealize Operations 信息泄露漏洞(CNNVD-202108-2297、CVE-2021-22024):

Vmware vRealize Operations Manager 存在信息泄露漏洞,该漏洞源于产品的API允许读取任意日志文件。

4、VMware vRealize Operations 访问控制错误漏洞(CNNVD-202108-2300、CVE-2021-22025):

VMware vRealize Operations 存在访问控制错误漏洞,该漏洞源于产品未正确限制来自未授权角色的资源访问。

5.VMware vRealize Operations 跨站请求伪造漏洞(CNNVD-202108-2301、CVE-2021-22026):

VMware vRealize Operations 中存在跨站请求伪造漏洞,该漏洞源于产品服务端未充分验证来自可信用户的请求。

6.VMware vRealize Operations 跨站请求伪造漏洞(CNNVD-202108-2302、CVE-2021-22027):

VMware vRealize Operations 中存在跨站请求伪造漏洞,该漏洞源于产品服务端未充分验证来自可信用户的请求。

二、危害影响

成功利用上述漏洞的攻击者无需用户交互及认证即可实现远程代码攻击,最终完全控制相关设备。VxWorks 7、VxWorks 6.5-6.9及使用Interpeak独立网络堆栈的VxWorks版本均受漏洞影响。具体如下:

VMware vRealize Operations Manager 8.4.0

VMware vRealize Operations Manager 8.3.0

VMware vRealize Operations Manager 8.2.0

VMware vRealize Operations Manager 8.1.1

VMware vRealize Operations Manager 8.1.0

VMware vRealize Operations Manager 8.0.1

VMware vRealize Operations Manager 8.0.0

VMware vRealize Operations Manager 7.5.0

VMware Cloud Foundation (vROps) 4.x

VMware Cloud Foundation (vROps) 3.x

vRealize Suite Lifecycle Manager (vROps) 8.x

三、修复建议

目前,VMware官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,采取修补措施。官方链接如下:

https://www.vmware.com/security/advisories/VMSA-2021-0018.html

本通报由CNNVD技术支撑单位——内蒙古洞明科技有限公司、杭州安恒信息技术股份有限公司、北京华云安信息技术有限公司、新华三技术有限公司、深信服科技股份有限公司提供支持。