8个月后，VMware 终于开始修复这个 vCenter 服务器缺陷

8个月后，VMware 终于开始修复这个 vCenter 服务器缺陷

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

自vCenter 服务器IWA 机制中的漏洞CVE-2021-22048 披露8个月之后，VMware 最终为其中一个受影响版本发布了补丁。该漏洞还影响 VMware 的 Cloud Foundation 混合云平台部署。

CVE-2021-22048 如遭成功利用，可使对vCenter Server 部署具有非管理员访问权限的攻击者将权限提升至更高级别。

VMware 公司指出，攻击者可从和目标服务器同样的物理或逻辑网络实施利用，发动更复杂的攻击，且只需低权限而无需用户交互。不过，NIST NVD的相关条目指出可在低复杂度的攻击中实施远程利用。

尽管如此，VMware 将该漏洞评级为“重要”级别，意味着“利用可导致用户数据的机密性和/或完整性遭完全攻陷，以及/或者可导致处理通过用户协助或认证攻击者的资源。”

虽然CVE-2021-22048影响多个 vCenter 服务器版本（即6.5、6.7和7.0），但该公司今天仅发布 vCenter Server 7.0 Update 3f，仅能解决运行最新可使用发布服务器中的漏洞。

应变措施

好在，尽管上不存在针对其它版本的补丁，但VMware 已在8个月前即2021年11月10日首次发布安全公告时就提供了删除该攻击向量的应变措施。

为拦截攻击尝试，VMware 建议管理员从IWA转向通过LDAPs 的活动目录认证或AD FS 的 Identity Provider Federation（仅限 vSphere 7.0）。该公司表示，“通过LDAP认证的活动目录并不受该漏洞影响。然而，VMware 强烈建议客户迁移至其它认证方法。通过LDAP认证的活动目录并不了解域信任，因此转向该方法的客户将不得不为所信任的域名配置唯一的身份资源。而Identity Provider Federation for AD FS 并没有这类限制。”

代码卫士试用地址：

开源卫士试用地址：

推荐阅读

VMware多款产品中存在两个严重漏洞，美国国土安全部要求联邦机构5天内修复

VMware Cloud Director 严重漏洞可使整个云基础设施遭接管

VMware 多款产品中存在严重漏洞

VMWare 认证软件存在SSRF漏洞，可用于访问用户数据

原文链接

/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 ”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~