VMware Aria Operations for Networks (原vRealize Network Insight)可帮助您在混合和多云环境中构建最优、高度可用且安全的网络基础架构。它提供的网络可见性和分析可加速微分段安全性、在应用程序迁移期间最大程度降低风险、优化网络性能以及自信地管理和扩展 VMware NSX、 VMware SD-WAN 和 Kubernetes 部署。
VMware 已发布安全更新,以修复 Aria Operations for Networks 中可能导致信息泄露和远程代码执行的三个缺陷。
通告原文:https://www.vmware.com/security/advisories/VMSA-2023-0012.html
漏洞分析:
这三个漏洞中最严重的是一个被跟踪为CVE-2023-20887(CVSS 评分:9.8)的命令注入漏洞,它可能允许具有网络访问权限的恶意行为者实现远程代码执行。
VMware 还修补了另一个反序列化漏洞( CVE-2023-20888 ),该漏洞在 CVSS 评分系统中的评分为 9.1(满分 10)。
该公司在一份公告中表示:“具有 VMware Aria Operations for Networks 网络访问权限和有效‘成员’角色凭证的恶意行为者可能能够执行反序列化攻击,从而导致远程代码执行。”
第三个安全缺陷是高严重性信息泄露漏洞(CVE-2023-20889,CVSS 评分:8.8),可能允许具有网络访问权限的攻击者执行命令注入攻击并获得对敏感数据的访问权限。
影响 VMware Aria Operations Networks 版本 6.x 的三个缺点已在以下版本中得到修复:6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9 和 6.10。没有缓解这些问题的解决方法。
修复方法:
Fixed Version(s) and Release Notes:
VMware Aria Operations for Networks 6.x HF: KB92684
附加百度网盘链接:https://pan.baidu.com/s/1qsZ5qqyaVNaBToBnrMndng?pwd=ding
发表评论