【風(fēng)險(xiǎn)通告】VMware多個(gè)高危漏洞
2021-02-25 00:00:00
近日����,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到VMware發(fā)布安全更新����,修復(fù)了包括代碼執(zhí)行漏洞和堆溢出漏洞等多個(gè)漏洞,風(fēng)險(xiǎn)等級(jí)為嚴(yán)重��。
建議VMware用戶盡快將Vcenter Server和ESXi升級(jí)到最新版本�����,避免遭受惡意攻擊����。
漏洞描述
CVE-2021-21972:VMware vCenter Server遠(yuǎn)程代碼執(zhí)行漏洞
該漏洞評(píng)級(jí)為嚴(yán)重�����,攻擊者可直接通過443端口構(gòu)造惡意請(qǐng)求��,執(zhí)行任意代碼�����,成功利用可控制vCenter�����。
CVE-2021-21974:VMware EXSi 堆溢出漏洞
該漏洞評(píng)級(jí)為高危�,攻擊者可通過427端口構(gòu)造惡意請(qǐng)求,觸發(fā)OpenSLP服務(wù)中的堆溢出漏洞����,并可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行���。
風(fēng)險(xiǎn)等級(jí)
嚴(yán)重
影響版本
VMware vCenter Server 7.0系列 < 7.0.U1c
VMware vCenter Server 6.7系列 < 6.7.U3l
VMware vCenter Server 6.5系列 < 6.5 U3n
VMware ESXi 7.0系列 < ESXi70U1c-17325551
VMware ESXi 6.7系列 < ESXi670-202102401-SG
VMware ESXi 6.5系列 < ESXi650-202102101-SG
修復(fù)建議
將VMware vCenter Server與VMware ESXi升級(jí)至最新版本。
如不方便升級(jí)����,可采取暫緩措施降低漏洞影響:
l CVE-2021-21972:VMware vCenter Server遠(yuǎn)程代碼漏洞
請(qǐng)參考:https://kb.vmware.com/s/article/82374
l CVE-2021-21974 VMware ESXi 堆溢出漏洞
請(qǐng)參考:https://kb.vmware.com/s/article/76372
參考鏈接
[1] https://www.vmware.com/security/advisories/VMSA-2021-0002.html
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/2/25