VMware 多款产品中存在严重漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
VMware 提醒客户立即修复位于多款产品中的严重漏洞,它们可被用于发动远程代码执行攻击。
本周三,VMware 提醒称,“应该按照 VMSA-2021-0011 中提到的指令立即修复或缓解该严重漏洞。该漏洞可造成严重后果。所有环境都是不同的,具有不同的风险容忍度,具有不同的风险缓解安全控制和纵深防御,因此客户必须自行决定如何处理。然而,鉴于该漏洞的严重程序,我们强烈建议立即行动。”
修复五个严重漏洞
VMware 修复的五个严重漏洞包括一个服务器端模板注入远程代码执行漏洞 (CVE-2022-22954)、两个 OAuth2 ACS认证绕过漏洞(CVE-2022-22955和CVE-2022-22956)和两个JDBC 注入远程代码执行漏洞(CVE-2022-22957和CVE-2022-22958)。
VMware 还修复了可导致跨站请求伪造的多个高中危漏洞(CVE-2022-22959)、提权漏洞(CVE-2022-22960)和未经授权的信息访问漏洞(CVE-2022-22961)。
受这些漏洞影响的VMware 产品包括:
VMware Workspace ONE Access (Access)
VMware Identity Manager (vIDM)
VMware vRealize Automation (vRA)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
VMware 公司表示尚未发现这些漏洞遭在野利用的证据。VMware 知识库网站也提供了已修复版本的完整清单以及热修复安装器的下载链接。
应变措施
VMware 公司还为无法立即打补丁的厂商提供了应变措施作为临时解决方案。具体操作要求管理员在受影响的虚拟设备上运行由VMware 提供的基于Python 的脚本。
然而,该公司表示完全消除这些漏洞的唯一方法就是应用补丁,“应变措施虽然方便,但无法消除漏洞,还可能引入打补丁不会产生的其它复杂问题。虽然打补丁还是应用应变措施是你的决策,但VMware 一直强烈建议打补丁,它是解决这个问题最简单也最可靠的方法。”
本周一,VMware还发布安全更新,修复了适用于虚拟机的 VMware Tanzu Application Service、VMware Tanzu Operations Manager 以及 VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) 中的Spring4Shell RCE 缺陷。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
VMware 修复多款产品中的高危漏洞
VMWare 认证软件存在SSRF漏洞,可用于访问用户数据
CISA 督促VMware 管理员修复Workspace ONE UEM 中的严重漏洞
VMware 修复 Workstation、Fusion 和 ESXi中的多个漏洞
VMware:警惕 vSphere Web Client中的新漏洞
原文链接
https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-vulnerabilities-in-multiple-products/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
VMware 多款产品中存在严重漏洞相关推荐
- VMware多款产品中存在两个严重漏洞,美国国土安全部要求联邦机构5天内修复
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 VMware 提醒客户称需立即修复严重的认证绕过漏洞(CVE-2022-22972),它影响多款产品中的"本地域用户",可被 ...
- VMware 修复多款产品中的高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,VMware 修复了影响 ESXi.Workstation.Fusion.Cloud Foundation和 NSX Data Cent ...
- iframe 在 SAP 三款产品中的三个应用场景
这是 Jerry 2021 年的第 73 篇文章,也是汪子熙公众号总共第 350 篇原创文章. iframe 是一项历史悠久的前端技术,能够将另一个 HTML 页面嵌入到当前的宿主页面.每个通过 if ...
- Ubiquiti几十款无线产品爆出命令注入漏洞 是因为没有升级老版本的PHP 据说厂商还未给出补丁...
Ubiquiti Networks公司提供的几十款产品中存在紧急漏洞,该漏洞可用于劫持设备.这个漏洞已于11月上报给了该厂商,但目前厂商尚未发布补丁修复大多数受影响的设备. 命令注入漏洞来自于没有升级 ...
- D-Link云摄像头超过120款产品存在漏洞,约40万台设备受影响
之前也有过摄像头存在安全漏洞,隐私被泄露出去的事件.这次事件的主角轮到了D-Link云摄像头.一位叫Stephen Ridley的安全研究员发现了D-Link云摄像头漏洞的存在,并且他还发现了超过12 ...
- Adobe 再次发布带外更新,修复影响10款产品的漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 Adobe 发布本月第二次带外安全更新,修复了影响多款软件产品中的严重漏洞. 这次发布的补丁不在例行的每月安全周期内,影响 Windo ...
- 电脑装机兼容性测试软件,四款产品内部兼容性测试
04四款产品内部兼容性测试 四款产品内部兼容性测试 在看完了每款产品的外观之后,那么紧接着就到了产品兼容性的测试.兼容性测试能够体现每一款产品的易用性,指导每个消费者们选购硬件,下面就来看看吧. 值得 ...
- SD NAND在点读机产品中的重要应用
今天跟大家分享一下,SD NAND存储芯片在点读机这款产品中的重要应用. 点读机,相信是这些年家长朋友们为孩子必备的一款学习产品,初期的 这款产品从一经上市,就引起了全球风靡,为了提高下一代的英语学习 ...
- CS品牌SD NAND在点读机产品中的案例分享
如今电子设备在消费市场的浪潮中,不断起起伏伏.竞争和创新层出不穷.今天跟大家分享一下,CS品牌SD NAND存储芯片在点读机这款产品中的重要应用. 点读机,相信是这些年家长朋友们为孩子必备的一款学习产 ...
最新文章
- C++ 在线编译器(支持 C++11)
- 【校招面试 之 C/C++】第12题 C++ 重载、重写和重定义
- java 多线程生产者_java-Runnable加锁实现生产者和消费者的多线程问题
- seekbar垂直放置_将刻度线对准Android SeekBar
- ubuntu20.04使用终端命令安装谷歌Chrome浏览器稳定版
- 助人快乐:笔记本连网
- 为什么长视频没有强算法推荐的产品
- STM32利用库函数驱动OLED
- C# 关闭主窗口后让所有线程都停止工作
- 【数据结构】30、hashmap=》hash 计算方式
- Python_012 CGI编程
- git21天打卡day4-查看仓库地址
- caffe---测试模型分类结果并输出(python )
- android studio 包重复
- LinkedList类源码阅读
- python+selenium 自动拖拽滑块
- 51单片机学习篇-- --静态数码管的显示(74HC138译码器,74HC245锁存器,74HC573锁存器)
- 【日语口语词典学习】第0004页
- SpringBoot2.0集成Shiro
- Cloudera和Hortonworks宣布合并:对Hadoop的一记重创!