《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > PoC已公開!VMware產(chǎn)品多個(gè)高危漏洞安全風(fēng)險(xiǎn)通告   

PoC已公開!VMware產(chǎn)品多個(gè)高危漏洞安全風(fēng)險(xiǎn)通告   

2021-02-25
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: Vmware 高危漏洞

  近日,,奇安信CERT監(jiān)測到VMware官方發(fā)布多個(gè)關(guān)于vCenter Server、ESXi的風(fēng)險(xiǎn)通告,,其中包括VMware vCenter Server遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-21972)、VMware ESXi堆溢出漏洞(CVE-2021-21974)兩個(gè)高危漏洞,,目前官方已有可更新版本,。鑒于漏洞危害較大,建議用戶及時(shí)安裝更新補(bǔ)丁,。

  當(dāng)前漏洞狀態(tài)

  微信截圖_20210225141224.png

  漏洞描述

  VMware vCenter Server遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-21972):vSphere Client(HTML5)在vCenter Server插件中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞,。未授權(quán)的攻擊者可以通過開放 443 端口的服務(wù)器向 vCenter Server 發(fā)送精心構(gòu)造的請(qǐng)求,從而在服務(wù)器上寫入webshell,,最終造成遠(yuǎn)程任意代碼執(zhí)行,。

  VMware ESXi堆溢出漏洞(CVE-2021-21974):當(dāng)在OpenSLP服務(wù)中處理數(shù)據(jù)包時(shí),由于邊界錯(cuò)誤,,本地網(wǎng)絡(luò)上的遠(yuǎn)程非身份驗(yàn)證攻擊者可以將偽造的數(shù)據(jù)包發(fā)送到端口427/tcp,,觸發(fā)基于堆的緩沖區(qū)溢出,并在目標(biāo)系統(tǒng)上執(zhí)行任意代碼,。

  風(fēng)險(xiǎn)等級(jí)

  奇安信 CERT風(fēng)險(xiǎn)評(píng)級(jí)為:高危

  風(fēng)險(xiǎn)等級(jí):藍(lán)色(一般事件)

  影響范圍

  1.VMware vCenter Server 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-21972)

  VMware:vcenter_server 7.0 U1c 之前的 7.0 版本

  VMware:vcenter_server 6.7 U3l 之前的 6.7 版本

  VMware:vcenter_server 6.5 U3n 之前的 6.5 版本

  2.VMware ESXi 堆溢出漏洞(CVE-2021-21974)

  VMware:ESXi70U1c-17325551 之前的 7.0 版本

  VMware:ESXi670-202102401-SG 之前的 6.7 版本

  VMware:ESXi650-202102101-SG 之前的 6.5 版本

  處置建議

  1.VMware vCenter Server遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-21972)

  升級(jí)到安全版本:

  vCenter Server 7.0 版本升級(jí)到 7.0.U1c

  vCenter Server 6.7 版本升級(jí)到 6.7.U3l

  vCenter Server 6.5 版本升級(jí)到 6.5 U3n

  緩解措施:

 微信截圖_20210225141313.png

  將文件內(nèi)容修改為下圖所示:

微信圖片_20210225141325.jpg

 微信截圖_20210225141404.png

  2.VMware ESXi堆溢出漏洞(CVE-2021-21974)

  升級(jí)到安全版本:

  ESXi 7.0 版本升級(jí)到 ESXi70U1c-17325551

  ESXi 6.7 版本升級(jí)到 ESXi670-202102401-SG

  ESXi 6.5 版本升級(jí)到 ESXi650-202102101-SG

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected]