VMware VMware已針對多個產(chǎn)品發(fā)布了安全更新，以解決一個可被利用來訪問機(jī)密信息的嚴(yán)重漏洞。

　　跟蹤為CVE-2021-22002(CVSS 評分：8.6)和CVE-2021-22003(CVSS 評分：3.7)，這些缺陷影響 VMware Workspace One Access (Access)、VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA) 、VMware Cloud Foundation 和 vRealize Suite Lifecycle Manager。

　　CVE-2021-22002 涉及 VMware Workspace One Access 和 Identity Manager 如何通過篡改主機(jī)標(biāo)頭來允許通過端口 443 訪問“/cfg”Web 應(yīng)用程序和診斷端點(diǎn)的問題，從而導(dǎo)致服務(wù)器端請求。

　　該公司在其公告中表示： “具有對端口 443 的網(wǎng)絡(luò)訪問權(quán)限的惡意行為者可能會篡改主機(jī)標(biāo)頭以促進(jìn)對 /cfg Web 應(yīng)用程序的訪問，此外，黑客還可以在未經(jīng)身份驗(yàn)證的情況下訪問 /cfg 診斷端點(diǎn)。”

　　知名網(wǎng)絡(luò)安全專家、東方聯(lián)盟創(chuàng)始人郭盛華透露，VMware 還解決了一個信息泄露漏洞，該漏洞通過端口 7443 上無意暴露的登錄界面影響 VMware Workspace One Access 和 Identity Manager。具有對端口 7443 的網(wǎng)絡(luò)訪問權(quán)限的攻擊者可能會發(fā)起暴力攻擊，該公司指出：“根據(jù)目標(biāo)賬戶的鎖定策略配置和密碼復(fù)雜性，可能實(shí)用，也可能不實(shí)用。”

　　對于無法升級到最新版本的客戶，VMware為 CVE-2021-22002提供了一個解決方法腳本，該腳本可以獨(dú)立部署而無需使 vRA 設(shè)備脫機(jī)。“該解決方法禁用了解析 vIDM 配置頁面的能力。該端點(diǎn)未在 vRA 7.6 環(huán)境中使用，不會對功能造成任何影響，”該公司表示。(邯鄲微信托管)

鴻蒙上熱搜了：短短兩個...

楊元慶：不排除自研芯片...