虚拟化漏洞呈增长趋势 VMware发布一批漏洞公告

Posted 安全牛

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了虚拟化漏洞呈增长趋势 VMware发布一批漏洞公告相关的知识,希望对你有一定的参考价值。

11月22日,VMware发布两条安全建议,提请客户在该公司多个产品中打上信息披露漏洞的补丁。




建议之一描述了3个重要漏洞,影响的是 VCenter Server、VSphere Client 和 VRealize Automation。Positive Technologies 的研究人员发现了可导致信息披露的XML外部实体(XXE)漏洞,某些案例中可产生拒绝服务条件。


一个问题与单点登录功能相关,另一个则影响VMware旗下 Log Browser、Distributed Switch 设置和 Content Library。攻击者可通过发送到服务器的特别编制的XML请求来利用这些漏洞。


第3个XXE漏洞影响 VSphere Client,只要攻击者可以诱骗合法用户连接恶意 vCenter Server 或ESXi实例,就能利用该漏洞。


这些安全漏洞的编号分别为:CVE-2016-7458CVE-2016-7459CVE-2016-7460,已随 vSphere Client 6.0 U2s、vCenter Server 6.0 U2s 和 5.5 U3e,以及 vRealize Automation 6.2.5 的发布被补上。有关 vSphere Client的情况,VMware建议卸载掉原程序后再重装打了补丁的版本。


本周发布的第2条建议描述了CVE-2016-5334,是 Identity Manager 和 vRealize Automation 中中级严重度的信息披露漏洞。VMware指出,该缺陷与目录遍历类似,只能让攻击者访问没包含任何敏感数据的文件夹。


Identity Manager 2.7.1 和 vRealize Automation 7.2.0 中已修复了该安全漏洞。vRealize Automation 7.x 是因包含一个基于RPM的 Identity Manager 版本而受该漏洞影响。


VMware还告知客户有两个建议已经更新,包括一个名为“脏牛(Dirty COW)”的Linux内核漏洞。


本月早些时候,参与了韩国PwnFest竞赛的白帽黑客成功找出了一个 VMware Workstation 关键漏洞,可使攻击者利用虚拟机在实体机操作系统上执行任意代码。PwnFest组织者奖给这些研究人员$150,000以表彰他们发现此虚->实逃逸漏洞。


相关阅读


---

以上是关于虚拟化漏洞呈增长趋势 VMware发布一批漏洞公告的主要内容,如果未能解决你的问题,请参考以下文章

VMware vCenter Server任意文件上传漏洞(CVE-2021-22005)复现

虚拟化漏洞专题之寻找VMware Workstation渲染器中的漏洞

全球虚拟化软件企业 VMware 修复产品多处漏洞

GitHub现VMware虚拟机逃逸EXP,利用三月曝光的CVE-2017-4901漏洞

转:利用一个堆溢出漏洞实现VMware虚拟机逃逸

漏洞预警 | ECShop全系列版本远程代码执行高危漏洞