網(wǎng)絡(luò)安全公司Citadelo發(fā)布了有關(guān)可能威脅的安全警告之后,VMware在其云服務(wù)交付平臺VMware Cloud Director中修復(fù)了一個嚴(yán)重漏洞�。
Citadelo說,發(fā)現(xiàn)了該漏洞���,同時對使用VMware Cloud Director的《財富》 500強(qiáng)企業(yè)客戶端進(jìn)行了安全審核���。該軟件已被全球的企業(yè)和云服務(wù)供應(yīng)商所采用���。
滲透測試公司將VMware Cloud Director中的錯誤歸因于平臺無法正確處理輸入,該錯誤有助于托管自動化工具�,云遷移�����,虛擬數(shù)據(jù)中心管理和數(shù)據(jù)中心擴(kuò)展��。
VMware回應(yīng)
Citadelo警告說���,黑客可以利用漏洞(跟蹤為CVE-2020-3956)進(jìn)行執(zhí)行代碼執(zhí)行攻擊�����,并“從技術(shù)上”承擔(dān)對與給定基礎(chǔ)結(jié)構(gòu)鏈接的所有私有云的控制����。
該錯誤會影響VMware Cloud Director版本10.1.0及更低版本�����,以及Linux安裝程序和PhotonOS設(shè)備上的vCloud Director 8x-10x。
Citadelo補(bǔ)充說����,通過更改登錄機(jī)制,從組織管理員到vCloud管理員的特權(quán)升級以及通過數(shù)據(jù)庫修改來篡改虛擬機(jī)�,利用網(wǎng)絡(luò)安全漏洞利用網(wǎng)絡(luò)錯誤的潛在后果可能涉及憑證失竊。
作為對該漏洞的詳盡分析的一部分�,這家網(wǎng)絡(luò)安全公司表示,除了可以訪問包含密碼哈希(包括客戶分配)的內(nèi)部系統(tǒng)數(shù)據(jù)庫之外�,它還可以讀取電子郵件,IP地址和其他機(jī)密客戶端數(shù)據(jù)�。
作為對該通報的回應(yīng),VMware將該漏洞(嚴(yán)重等級為CVSSV3評分為8.8)描述為“重要”漏洞����,并提供了修補(bǔ)程序以及知識庫中引用的解決方法。
云計算和虛擬化軟件提供商承認(rèn)��,經(jīng)過身份驗證的參與者可能會路由其“惡意流量”其云服務(wù)交付平臺(之前稱為vCloud Director)���,從而觸發(fā)執(zhí)行任意遠(yuǎn)程代碼����。
VMware指出����,黑客可以通過基于Flex和HTML5的用戶界面����,API Explorer界面和API訪問來利用VMware Cloud Director中的漏洞����。
該漏洞曝光后,公司于4月3日對其進(jìn)行了分類和復(fù)制�����,從而在4月30日構(gòu)建了補(bǔ)丁���。隨后,VMware在5月披露了有關(guān)此補(bǔ)丁的信息���,以使VMware Cloud Director的用戶可以對其補(bǔ)丁進(jìn)行補(bǔ)丁�。及時建立���。最終����,VMware在5月19日向其客戶發(fā)布了安全公告。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
