VMware 修复多款产品中的高危漏洞

最新推荐文章于 2023-02-18 11:40:49 发布
最新推荐文章于 2023-02-18 11:40:49 发布
阅读量762 收藏
点赞数
文章标签: linux java 安全 docker python
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247510568&idx=2&sn=490a1bafa5b61a77f098599397dab01b&chksm=ea949b42dde31254332fa19be2613b491c36773fe16a8f8723fde1dd3b07195daddf7d11d400&scene=126&&sessionid=0
版权

4a6c7a00548f0102278e74fd4ded3e75.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

本周二,VMware 修复了影响 ESXi、Workstation、Fusion、Cloud Foundation和 NSX Data Center for vSphere 中的多个高危漏洞,它们可被用于执行任意代码和引发拒绝服务条件。

截止目前,并未有证据表明漏洞已遭在野利用。这六个缺陷是:

  • CVE-2021-22040:CVSS 8.4分,XHCI USB 控制器中的释放后使用漏洞

  • CVE-2021-22041:CVSS 8.4分,UHCI USB控制器中的Double-fetch 漏洞

  • CVE-2021-22042:CVSS 8.2分,ESXi seetingsd 越权访问漏洞

  • CVE-2021-22043:CVSS 8.2分,ESXi seetingsd TOCTOU漏洞

  • CVE-2021-22050:CVSS 5.3分,ESXi 中缓慢的HTTP POST拒绝服务漏洞

  • CVE-2021-22945:CVSS 8.8分,NSX Edge 设备组件中的CLI shell 注入漏洞

这些漏洞如遭成功利用可导致具有虚拟机本地管理权限的恶意人员以运行在主机上虚拟机VMX进程身份执行代码。它还可导致能够访问settingsd 权限的攻击者通过写任意文件提升权限。

另外,CVE-2021-22050还可被具有ESXi网络访问权限的攻击者,通过多个请求复写 rhttpproxy 服务创建DoS条件。CVE-2022-22945可导致对NSX-V具有SSH访问权限的攻击者以根用户身份在操作系统上运行任意命令。

其中多个漏洞是由天府杯参赛人员发现的。VMware 公司指出,如果攻击者能够访问环境中的工作负载,则需紧急修复相关漏洞。

推荐阅读

VMWare 认证软件存在SSRF漏洞,可用于访问用户数据

VMware 修复 Workstation、Fusion 和 ESXi中的多个漏洞

CISA 督促VMware 管理员修复Workspace ONE UEM 中的严重漏洞

VMware:警惕 vSphere Web Client中的新漏洞

攻击者利用Python 勒索软件加密 VMware ESXi 服务器

原文链接

https://thehackernews.com/2022/02/vmware-issues-security-patches-for-high.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

236099f106bc1dac59a3c5bc65e52694.png

8ee003fc1280b587641bfbdb9e533fa8.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   423fb18339fece5f74ed0ffc203d04cb.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VMware:速修复这三个严重的 Workspace ONE Assist 软件漏洞
smellycat000的专栏
11-09 414
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士VMware 修复了影响 Workspace ONE Assist 解决方案的五个漏洞,其一些可悲用于绕过认证并获取提升后的权限。其三个漏洞CVE-2022-31685、CVE-2022-31686和CVE-2022-31687为严重等级的漏洞,CVSS评分均为9.8。CVE-2022-31685是一个认证绕过缺陷,对VMware Work...
VMware 修复严重的ESXi和vRealize 漏洞
smellycat000的专栏
12-15 2366
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士VMware 发布安全更新,修复了一个影响ESXi、Workstation、Fusion和Cloud Foundation 的严重漏洞 (CVE-2022-31705) 以及一个影响 vRealize Network Insight 的严重的命令注入漏洞 (CVE-2022-31702)。CVE-2022-31705CVE-2022-31705是...
ESXi主机CVE-2021-21972漏洞复现安全处置建议
tigerman20201的博客
02-18 1932
一、漏洞简介 vSphere是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其 vCenter Server 为 ESXi 的控制心,可从单一控制点统一管理数据心的所有 vSphere 主机和虚拟机。 vSphere Client(HTML5) 在 vCenter Server 插件存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,写入webshell,控制服务器
Vmware CVE-2021-21972漏洞复现
New Wh1te Hat
03-16 2355
一、漏洞简介 vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其 vCenter Server 为 ESXi 的控制心,可从单一控制点统一管理数据心的所有 vSphere 主机和虚拟机。 vSphere Client(HTML5) 在 vCenter Server 插件存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,写入webshell,控制服务器
VMware Workspace ONE Access SSTI 漏洞复现(CVE-2022-22954)
xiaobai_20190815的博客
05-17 1297
一、漏洞描述 VMware Workspace ONE Access 及 Identity Manager 存在一个由服务器模板注入导致的远程命令执行漏洞,未经身份验证的攻击者可以利用此漏洞进行远程任意代码执行。 二、影响版本 Linux Linux Kernel * * * Vmware Identity Manager 3.3.3 * * * Vmware Identity Manager 3.3.4 * * * Vmware Identity Manager 3.3.5 * * * Vm
VMware注册表修复
06-28
VMware注册表修复,解决卸载过vm再次安装报错
VMware vSphere 6.5 全套文手册
10-31
包含ESXi 和 vCenter Server 产品文档、VMware Tools、VMware Vitual SAN、VMware vSphere Data Protection、vSphere Update Manager、补充文档、兼容性和配置限制、命令行界面、新功能和发行说明、vsphere-admin-...
虚拟机VMware实现SQL双机
最新发布
04-29
虚拟机VMware实现SQL双机
VMware 2019 产品体系.xlsx
12-11
VMwareFY2019年度公开对外销售的产品体系的英文对照名称以及产品名称名录; 自己整理的资料; 相对全面的落实了下网站的内容概要; 主要对于想了解VMware产品体系有一定帮助;
修复VMware VCSA 磁盘空间不足
11-23
修复VMware VCSA 磁盘空间不足,通过命令行操作。操作一下就好了
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞(CVE-2018-2625)补丁包
08-17
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞(CVE-2018-2625) 补丁包 对应的weblogic的版本是12.1.3.0 有需要的下载
CVE-2021-27928:CVE-2021-27928 MariaDBMySQL-'wsrep provider' 命令注入漏洞
04-16
信息 Exploit Title: MariaDB 10.2 /MySQL - 'wsrep_provider' OS Command Execution Date: 03/18/2021 Exploit Author: Central InfoSec Version: MariaDB 10.2 before 10.2.37 10.3 before 10.3.28 10.4 before 10.4.18 10.5 before 10.5.9 Percona Server through 2021-03-03; and the wsrep patch through 2021-03-03 for MySQL Tested on: Linux CVE : CVE-2021-27928 如何利用 步骤1:建立反向Shell有效负载 msfvenom -p linux/x64/shel
Centos7 二进制方式安装的mysql5.7.30升级为5.7.38 解决CVE-2021-22946漏洞
非专业技术员的博客
07-29 4645
Centos7 二进制方式安装的mysql5.7.30升级为5.7.38 解决CVE-2021-22946漏洞
VMware 修复 Workstation、Fusion 和 ESXi的多个漏洞
smellycat000的专栏
01-06 1074
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周,VMware 发布 Workstation、Fusion 和 ESXi 产品线的安全更新,提醒称其的堆缓冲区溢出漏洞 (CVE-...
解决Oracle MySQL 安全漏洞(CVE-2021-22570)
大宇进阶之路的博客
06-27 8472
服务器安装mysql,但是扫描出有漏洞Oracle MySQL 安全漏洞(CVE-2021-22570)查看oracle的这个更新公告:Oracle Critical Patch Update Advisory - April 2022 看到在8.0.28之前版本都存在这个CVE-2021-22570漏洞,目前mysql最新的是8.0.29版本,因此升级mysql到29版本上。升级mysql之前先把数据库按库备份,其次不需要重新对mysql初始化。升级步骤参考这篇文章的操作:MySQL5.7升级到MySQL
VMware 产品多个高危漏洞 (CVE-2022-22954,CVE-2022-22955,CVE-2022-22956,CVE-2022-22957,CVE-2022-22958,CVE-2022
西米安全
04-11 2083
漏洞详情 VMware官方发布安全通告告,其包含了影响VMware Workspace ONE Access、Identity Manager 和 vRealize Automation组件的多个高危漏洞CVE-2022-22954、CVE-2022-22955、CVE-2022-22956、CVE-2022-22957、CVE-2022-22958、CVE-2022-22959、CVE-2022-22960、CVE-2022-22961),漏洞详情如下: CVE-2022-22954 漏洞类型:远程命
云服务器CVE-2021-24074漏洞修复
weixin_44281516的博客
07-07 1808
突然有一天腾讯云给我发了一个短信说我的服务器有漏洞,giao,这他喵的能忍? 马上连上服务器去修复漏洞 访问地址 https://www.catalog.update.microsoft.com/Search.aspx?q=KB4601349 下载对应的补丁 我的服务器是 所以直接下载了 下载完毕,创建快照方便搞出问题后及时补救。 双击运行,重启电脑后运行systeminfo查看信息,已安装KB4601349 OK补丁打上再来扫描试试看看还有没有洞 漏洞修复 ...
升级MySQL5.7.34到5.7.35(修补CVE-2021-22901)
bigwood99的博客
09-06 5977
适用于rpm方式安装MySQL5.7.34 首先下载安装包。 https://dev.mysql.com/downloads/mysql/ 默认进取是最新版,因此要找到5.7版本,点击右侧的文字链接:Looking for the latest GA version? 进入5.7版下载页面,选择对应的版本后,下载。 成功后软件包上传到服务器,使用tar命令解包。注意,下载文件是tar文件,未使用压缩参数,解包也不要使用压缩参数z。 本例,因为只安装了其的4个包,所以只列出4个升级包方法。
Windows Print Spooler服务最新漏洞CVE-2021-34527详细分析
热门推荐
爱国小白帽
07-09 1万+
0x00 前言 近日,有安全研究员在github上公开了"CVE-2021-1675"的exp PrintNightmare,后经验证公开的exp是一个与CVE-2021-1675不同的漏洞,微软为其分配了新的编号CVE-2021-34527。这篇文章记录了CVE-2021-34527的复现过程,并对漏洞成因进行了简单的分析。 0x01 漏洞复现 这里记录域控环境下使用普通权限域账户实现RCE反弹nt authority\system shell的过程。下面的漏洞复现和漏洞分析都是基..
vmware 修复vmx
09-02
对于修复 VMware VMX 文件的问题,您可以尝试以下几个步骤: 1. 首先,确保您已关闭 VMware Workstation 或 VMware Player。确保没有任何 VMware 进程正在运行。 2. 找到 VMX 文件所在的虚拟机文件夹。这通常是一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值