《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 快一年了,,VMware這一高危漏洞仍未解決

快一年了,VMware這一高危漏洞仍未解決

2022-10-25
來源:FreeBuf
關(guān)鍵詞: Vmware 高危漏洞

據(jù)Bleeping Computer消息,,VMware于10月11日通知客戶,,vCenter Server 8.0(最新版本)仍在等待補丁來解決 2021 年 11 月披露的高嚴(yán)重性特權(quán)提升漏洞,。

微信圖片_20221025123301.jpg

該安全漏洞 CVE-2021-22048 由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA(集成 Windows 身份驗證)機制中發(fā)現(xiàn),影響范圍涉及到了 VMware 的 Cloud Foundation 混合云平臺部署,,具有非管理訪問權(quán)限的攻擊者可以利用漏洞,,在未打補丁的服務(wù)器上將權(quán)限提升到更高權(quán)限組。

VMware 表示,,只有使用與目標(biāo)服務(wù)器相鄰的向量網(wǎng)絡(luò)的攻擊者才能利用此漏洞作為高復(fù)雜性攻擊的一部分,,該攻擊需要低權(quán)限且無需用戶交互(但是NIST NVD 的 CVE-2021-22048 條目表示它可以遠(yuǎn)程利用低復(fù)雜性攻擊)。

盡管如此,,VMware 仍將該漏洞的嚴(yán)重性評估為“重要”,, 這意味著通過用戶協(xié)助或經(jīng)過驗證的攻擊者能利用漏洞泄露用戶數(shù)據(jù)。

公司曾在 2022 年 7 月發(fā)布安全更新,,但僅解決了當(dāng)時運行最新可用版本(vCenter Server 7.0 Update 3f)的服務(wù)器漏洞,即便如此,該補丁也在發(fā)布 11 天后被撤回,,因為它沒有修復(fù)漏洞并導(dǎo)致 Secure打補丁時令牌服務(wù) (vmware-stsd) 崩潰,。

補丁發(fā)布之前的解決方法

盡管所有受影響產(chǎn)品都還在苦苦等待補丁的到來,但 VMware 提供了一種解決方法,,允許管理員刪除攻擊媒介,。

為了阻止攻擊嘗試,VMware 建議管理員從受影響的集成 Windows 身份驗證 (IWA) 切換到 Active Directory over LDAPs 身份驗證或 AD FS 身份提供程序聯(lián)合身份驗證(僅限 vSphere 7.0),。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]