VMware是一家云基礎(chǔ)架構(gòu)和移動(dòng)商務(wù)解決方案廠商，提供基于VMware的虛擬化解決方案。VMware Workspace ONE Access （以前稱(chēng)為 VMware Identity Manager）是VMware公司智能驅(qū)動(dòng)型數(shù)字化工作空間平臺(tái)。VMware vRealize Automation是自動(dòng)化部署方案云管平臺(tái)。VMware Cloud Foundation是VMware公司混合云平臺(tái)。vRealize Suite Lifecycle Manager是vRealize Suite生命周期和內(nèi)容管理平臺(tái)。0zI28資訊網(wǎng)——每日最新資訊28at.com

4月6日,VMware發(fā)布了安全更新,修復(fù)了VMware解決方案中發(fā)現(xiàn)的遠(yuǎn)程代碼執(zhí)行等重要漏洞。以下是漏洞詳情：0zI28資訊網(wǎng)——每日最新資訊28at.com

漏洞詳情0zI28資訊網(wǎng)——每日最新資訊28at.com

來(lái)源:https://www.vmware.com/security/advisories/VMSA-2022-0011.html0zI28資訊網(wǎng)——每日最新資訊28at.com

1.CVE-2022-22954 CVSS評(píng)分：9.8 嚴(yán)重程度:高0zI28資訊網(wǎng)——每日最新資訊28at.com

VMware Workspace ONE Access and Identity Manager 包含一個(gè)由于服務(wù)器端模板注入而導(dǎo)致的遠(yuǎn)程代碼執(zhí)行漏洞。已知的攻擊媒介具有網(wǎng)絡(luò)訪問(wèn)權(quán)限的惡意行為者可以觸發(fā)可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行的服務(wù)器端模板注入。0zI28資訊網(wǎng)——每日最新資訊28at.com

2.CVE-2022-22955、CVE-2022-22956 CVSS評(píng)分：9.8 嚴(yán)重程度:高0zI28資訊網(wǎng)——每日最新資訊28at.com

VMware Workspace ONE Access 在 OAuth2 ACS 框架中有兩個(gè)身份驗(yàn)證繞過(guò)漏洞。已知的攻擊媒介由于身份驗(yàn)證框架中暴露的端點(diǎn)，惡意行為者可能會(huì)繞過(guò)身份驗(yàn)證機(jī)制并執(zhí)行任何操作。0zI28資訊網(wǎng)——每日最新資訊28at.com

3.CVE-2022-22957、CVE-2022-22958 CVSS評(píng)分：9.1 嚴(yán)重程度:高0zI28資訊網(wǎng)——每日最新資訊28at.com

VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含兩個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。已知的攻擊媒介具有管理訪問(wèn)權(quán)限的惡意行為者可以通過(guò)惡意 JDBC URI 觸發(fā)不可信數(shù)據(jù)的反序列化，這可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。0zI28資訊網(wǎng)——每日最新資訊28at.com

4.CVE-2022-22959 CVSS評(píng)分：8.8 嚴(yán)重程度:高0zI28資訊網(wǎng)——每日最新資訊28at.com

VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含一個(gè)跨站點(diǎn)請(qǐng)求偽造漏洞。已知的攻擊媒介惡意行為者可以通過(guò)跨站點(diǎn)請(qǐng)求偽造來(lái)欺騙用戶(hù)，以無(wú)意中驗(yàn)證惡意JDBC URI。0zI28資訊網(wǎng)——每日最新資訊28at.com

5.CVE-2022-22960 CVSS評(píng)分：7.8 嚴(yán)重程度:重要0zI28資訊網(wǎng)——每日最新資訊28at.com

由于支持腳本中的權(quán)限不正確，VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含一個(gè)權(quán)限提升漏洞。已知的攻擊媒介具有本地訪問(wèn)權(quán)限的惡意行為者可以提升到“root”權(quán)限。0zI28資訊網(wǎng)——每日最新資訊28at.com

6.CVE-2022-22961 CVSS評(píng)分：5.3 嚴(yán)重程度:中0zI28資訊網(wǎng)——每日最新資訊28at.com

由于返回過(guò)多信息，VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含一個(gè)信息泄露漏洞。已知的攻擊媒介具有遠(yuǎn)程訪問(wèn)權(quán)限的惡意行為者可能會(huì)泄露目標(biāo)系統(tǒng)的主機(jī)名。成功利用此問(wèn)題可導(dǎo)致針對(duì)受害者。0zI28資訊網(wǎng)——每日最新資訊28at.com

受影響的產(chǎn)品0zI28資訊網(wǎng)——每日最新資訊28at.com

VMware Workspace ONE Access (Access)0zI28資訊網(wǎng)——每日最新資訊28at.com

VMware Identity Manager (vIDM)0zI28資訊網(wǎng)——每日最新資訊28at.com

VMware vRealize Automation (vRA)0zI28資訊網(wǎng)——每日最新資訊28at.com

VMware Cloud Foundation0zI28資訊網(wǎng)——每日最新資訊28at.com

vRealize Suite Lifecycle Manager0zI28資訊網(wǎng)——每日最新資訊28at.com

解決方案0zI28資訊網(wǎng)——每日最新資訊28at.com

VMware官方已經(jīng)修復(fù)上述漏洞，可以參考如下官方修復(fù)方案0zI28資訊網(wǎng)——每日最新資訊28at.com

修復(fù)版本：https ://kb.vmware.com/s/article/880990zI28資訊網(wǎng)——每日最新資訊28at.com

解決方法： https ://kb.vmware.com/s/article/880980zI28資訊網(wǎng)——每日最新資訊28at.com

查看更多漏洞信息 以及升級(jí)請(qǐng)?jiān)L問(wèn)官網(wǎng)：0zI28資訊網(wǎng)——每日最新資訊28at.com

https://www.vmware.com/security/advisories.html0zI28資訊網(wǎng)——每日最新資訊28at.com

本文鏈接：http://www.www897cc.com/showinfo-119-2265-0.html云安全日?qǐng)?bào)220407：VMware云計(jì)算解決方案發(fā)現(xiàn)遠(yuǎn)程代碼執(zhí)行漏洞,需要盡快升級(jí)

聲明：本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí)，若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。郵件：2376512515@qq.com

上一篇： 一文帶你了解機(jī)器人是如何通過(guò)視覺(jué)實(shí)現(xiàn)目標(biāo)跟蹤的

下一篇： 無(wú)人出租車(chē)被警察截停后逃逸！AI：我當(dāng)時(shí)害怕極了