原标题:云安全日报210331:VMware虚拟化运维管理解决方案发现请求伪造攻击漏洞,需要尽快升级
VMware是全球云基础架构和移动商务解决方案厂商,vRealize Operations Manager是vmware 官方提供的针对vmware虚拟化平台的一套运维管理解决方案。
3月30日,VMware 官方发布安全公告,披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF 和 CVE-2021-21983 VMware vRealize Operations Manager API 任意文件写入漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2021-21975 CVSSv3评分:8.6 严重程度:高危
vRealize Operations Manager API包含服务器端请求伪造。可以通过网络访问vRealize Operations Manager API的恶意攻击者可以执行服务器端请求伪造攻击(SSRF),以窃取管理凭据。
2.CVE-2021-21983 CVSSv3评分:7.2 严重程度:高危
vRealize Operations Manager API包含一个任意文件写入漏洞。可以通过网络访问vRealize Operations Manager API的经过身份验证的恶意行为者可以将文件写入基础光子操作系统上的任意位置。
受影响产品
vRealize Operations Manager 8.3.0
vRealize Operations Manager 8.2.0
vRealize Operations Manager 8.1.1
vRealize Operations Manager 8.1.0
vRealize Operations Manager 8.0.1
vRealize Operations Manager 8.0.0
vRealize Operations Manager 7.5.0
解决方案
官方未发布新版本,但已提供对应版本的相关补丁.建议根据vRealize Operations Manager版本下载并更新合适的补丁。在安装补丁前建议做好相应备份。补丁下载地址请见:https://www.vmware.com/security/advisories/VMSA-2021-0004.html 。
查看更多漏洞信息 以及升级请访问官网:
https://www.vmware.com/security/advisories/VMSA-2021-0004.html?spm=a2c4g.11174386.n2.4.48ec1051qr0vC6