VMware多個漏洞通告
  • CNNVD編號:未知
  • 危害等級: 高危 
  • CVE編號:未知
  • 漏洞類型: 未知
  • 威脅類型:未知
  • 廠       商:未知
  • 漏洞來源:深信服
  • 發(fā)布時間:2021-08-27
  • 更新時間:2021-08-27

漏洞簡介

1、組件介紹

vRealize Operations Manager是VMware 官方提供的針對VMware虛擬化平臺的一套運維管理解決方案。

2、漏洞簡介

2021年8月24日,深信服安全團隊監(jiān)測到VMware官方發(fā)布安全更新的通告,共修復(fù)了6個安全漏洞,其中包含4個高危漏洞的信息。

序號

漏洞名稱

漏洞編號

嚴(yán)重

等級

影響版本

1


vRealize Operations Manager API 中的服務(wù)器端請求偽造漏洞


CVE-2021-22027

高危

vRealize Operations Manager8.4.0


vRealize Operations Manager8.3.0


vRealize Operations Manager8.2.0


vRealize Operations Manager8.1.1、8.1.0


vRealize Operations Manager8.0.1、8.0.0


vRealize Operations Manager7.5.0


VMware Cloud Foundation (vROps)4.x


VMware Cloud Foundation (vROps)3.x


vRealize Suite Lifecycle Manager (vROps)8.x

2


vRealize Operations Manager API 中的服務(wù)器端請求偽造漏洞


CVE-2021-22026

高危

3


vRealize Operations Manager API 中的訪問控制中斷漏洞


CVE-2021-22025

高危

4


vRealize Operations Manager API 中的任意日志文件讀取漏洞


CVE-2021-22024

高危

5


vRealize Operations Manager API 中的不安全直接對象引用漏洞


CVE-2021-22023

中危

6


vRealize Operations Manager API 中的任意文件讀取漏洞


CVE-2021-22022

中危


漏洞公示

高危漏洞描述

CVE-2021-22027:vRealize Operations Manager API 中的服務(wù)器端請求偽造漏洞

    該漏洞是由于vRealize Operations Manager API存在服務(wù)器請求偽造漏洞,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行服務(wù)器請求偽造攻擊,最終可造成服務(wù)器敏感性信息泄露。


CVE-2021-22026:vRealize Operations Manager API 中的服務(wù)器端請求偽造漏洞

    該漏洞是由于vRealize Operations Manager API存在服務(wù)器請求偽造漏洞,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行服務(wù)器請求偽造攻擊,最終可造成服務(wù)器敏感性信息泄露。


CVE-2021-22025:vRealize Operations Manager API 中的訪問控制中斷漏洞

    該漏洞是由于vRealize Operations Manager API存在訪問控制漏洞,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行越權(quán)訪問攻擊,最終可以控制vROps 群集添加節(jié)點。


CVE-2021-22024:vRealize Operations Manager API 中的任意日志文件讀取漏洞

    該漏洞是由于vRealize Operations Manager API存在日志文件讀取漏洞,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行日志文件讀取攻擊,最終可造成服務(wù)器敏感性信息泄露。

受影響實體

vRealize Operations Manager資產(chǎn)分布世界各地,主要集中在美國、中國、新加坡等國家,國內(nèi)主要分布在北京、上海、江蘇等省市。


    目前受影響的vRealize Operations Manager版本:

vRealize Operations Manager 8.4.0

vRealize Operations Manager 8.3.0

vRealize Operations Manager 8.2.0

vRealize Operations Manager 8.1.1、8.1.0

vRealize Operations Manager 8.0.1、8.0.0

vRealize Operations Manager 7.5.0

VMware Cloud Foundation (vROps) 4.x

VMware Cloud Foundation (vROps) 3.x

vRealize Suite Lifecycle Manager (vROps) 8.x

補丁

官方修復(fù)建議

當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:

https://www.vmware.com/security/advisories/VMSA-2021-0018.html