最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

VMware修复了关键的ESXi 和vRealize安全漏洞

网络安全 快米云 来源:快米云 400浏览

VMware

VMware 发布了安全更新,以解决影响 ESXi、Workstation、Fusion 和 Cloud Foundation 的严重漏洞,以及影响 vRealize Network Insight 的严重命令注入漏洞。

VMware ESXi 堆越界写入漏洞被跟踪为CVE-2022-31705并且已获得 CVSS v3 严重性等级 9.3。

“在虚拟机上具有本地管理权限的恶意行为者可能会利用此问题在主机上运行虚拟机的 VMX 进程时执行代码,”安全公告中提到。

“在 ESXi 上,漏洞利用包含在 VMX 沙箱中,而在 Workstation 和 Fusion 上,这可能导致代码在安装了 Workstation 或 Fusion 的机器上执行。”

该漏洞影响以下产品:

ESXi 8.0(在 ESXi 8.0a-20842819 中修复)
ESXi 7.0(在 7.0U3i-20842708 中修复)
Fusion 12.x(在 12.2.5 中修复)
Workstation 16.x(在 16.2.5 中修复)
Cloud Foundation 4.x/3 .x(已在 KB90336 中修复)

VMware Fusion 13.x 和 Workstation 17.x 不受该缺陷的影响。

ESXi 表

由于 CVE-2022-31705 在 USB 2.0 控制器 (EHCI) 中,对于无法应用安全更新的用户,建议的解决方法是从其实例中删除 USB 控制器。

VMware 已发布有关如何在 VMware ESXi 虚拟机上应用变通方法的分步说明,该变通方法也适用于 Cloud Foundation 套件。

对于 VMware Workstation 和 VMware Fusion,请执行以下步骤:

对于融合:

  1. 选择窗口 > 虚拟机库。
  2. 在 Virtual Machine Library 窗口中选择一个虚拟机,然后单击 Settings。
  3. 在“设置”窗口的“可移动设备”下,单击“USB 和蓝牙”。
  4. 在高级 USB 选项下,单击移除 USB 控制器。
  5. 在确认对话框中单击删除。

对于工作站:

  1. 在库窗格中选择一个虚拟机,然后选择 VM > 设置。
  2. 在“虚拟机设置”对话框中,转到“硬件”选项卡。
  3. 选择 USB 控制器条目并单击删除。

单独的安全公告中,VMware 提供了有关CVE-2022-31702的详细信息,这是一个严重程度 (CVSS v3: 9.8) 漏洞,允许在 vRealize Network Insight 6.2 至 6.7 版的 vRNI REST API 中进行命令注入。

同一安全通知提到了一个不太严重的 (CVSS v3: 7.5) 目录遍历漏洞CVE-2022-31703,它可能使威胁参与者能够从服务器读取任意文件。该缺陷会影响上述相同的产品版本。

VMware vRealize Network Insight 6.8.0 不受这些漏洞的影响。

软件供应商已发布安全更新以解决所有受影响版本的问题,如下表所示。

vRealize 影响表

没有解决这些缺陷的解决方法,因此建议升级到您分支机构的最新可用版本。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » VMware修复了关键的ESXi 和vRealize安全漏洞