漏洞情报 | VMware 多个高危漏洞通告

漏洞情报 | VMware 多个高危漏洞通告

VMware(威睿) 是全球桌面到数据中心虚拟化解决方案的领导厂商。

2021年2月23日,VMware官方发布了多个高危漏洞的通告,CVE编号分别是CVE-2021-21972,CVE-2021-21973,CVE-2021-21974。

通告参考链接:VMSA-2021-0002

CVE-2021-21972:vSphere Client(HTML5)在 vCenter Server 插件 vRealize Operations 中包含一个远程执行代码漏洞,CVSSv3 评分 9.8。受影响的 vRealize Operations 插件为默认安装。

CVE-2021-21974:ESXi 中使用的 OpenSLP 存在堆溢出漏洞,CVSSv3 评分 8.8。与 ESXi 处于同一网段中且可以访问 427 端口的攻击者可触发 OpenSLP 服务中的堆溢出问题,从而导致远程执行代码。

其中 CVE-2021-21974 是 VMware vCenter server 中的一个远程代码执行漏洞,该漏洞是一个 Windows 或 Linux 应用程序,管理员使用它来启用和管理大型网络的虚拟化。

CVE受影响产品CVSSv3
CVE-2021-21972vCenter Server9.8
CVE-2021-21973vCenter Server5.3
CVE-2021-21974ESXi8.8

受影响版本:

VMware ESXi 7.0,6.7,6.5,VMware Cloud Foundation 4.X,3.X

ESXi已修复版本:VMware ESXi ESXi70U1c-17325551,ESXi670-202102401-SG,ESXi650-202102101-SG,VMware Cloud Foundation 4.2。

vCenter已修复版本:vCenter Server 7.0 U1c-,vCenter Server 6.7 U3l-17138064,vCenter Server 6.5 U3n-17590285。

CVE-2021-21972 会影响 6.5、6.7 和 7.01 版本的 vCenter Server 。用户在使用其中一个版本时应尽快更新到安全版本:

受影响产品版本已修复版本
vCenter Server 6.56.5 U3n
vCenter Server 6.76.7 U3l
vCenter Server 7.07.0 U1c
受影响产品版本已修复版本
Cloud Foundation 3.x3.10.1.2
Cloud Foundation 4.x4.2

解决办法:将vCenter和ESXi升级对应补丁到已修复版本即可。

ESXi补丁安装可参考文档:如何升级ESXi补丁?

vCenter补丁安装可参考文档:如何升级vCenter(VCSA)补丁?

补丁下载:VMware常用软件ISO下载汇总(2021年3月更新)

dinghui.org

关注虚拟化及IT技术发展!