漏洞情报 | VMware vRealize Operations Manager文件写入漏洞

漏洞情报 | VMware vRealize Operations Manager文件写入漏洞

2021年3月31日,VMware 官方发布安全公告VMSA-2021-0004,披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF 和 CVE-2021-21983 VMware vRealize Operations Manager API 任意文件写入漏洞。

漏洞描述

VMware是一家云基础架构和移动商务解决方案厂商,vRealize Operations Manager是VMware 官方提供的针对VMware虚拟化平台的一套运维管理解决方案。2021年3月31日,VMware 官方发布安全公告,披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF 和 CVE-2021-21983 VMware vRealize Operations Manager API 任意文件写入漏洞。攻击者结合两个漏洞构造恶意请求,可在无需认证的情况下执行任意代码,控制服务器。

漏洞评级

CVE-2021-21975 VMware vRealize Operations Manager API SSRF 高危

CVE-2021-21983 VMware vRealize Operations Manager API 任意文件写入漏洞 高危

影响版本

vRealize Operations Manager 8.3.0

vRealize Operations Manager 8.2.0

vRealize Operations Manager 8.1.1

vRealize Operations Manager 8.1.0

vRealize Operations Manager 8.0.1

vRealize Operations Manager 8.0.0

vRealize Operations Manager 7.5.0

安全建议

根据 vRealize Operations Manager 版本下载并更新合适的补丁。在安装补丁前建议做好相应备份。

补丁下载

1、VMware官网下载补丁:

以vRealize Operations Manager 8.3为例,使用账户密码登录https://my.vmware.com/group/vmware/patch#search

选择vRealize Operations Manager,版本选择8.3.0(根据实际产品版本选择),下载最新的那个补丁,下载。

2、百度网盘下载:

vRealize Operations Manager(vROps)补丁下载汇总:

https://www.dinghui.org/vmware-iso-download.html#vROps-patch

补丁安装

参考文档:升级VMware vRealize Operations Manager补丁

dinghui.org

关注虚拟化及IT技术发展!