首页 >> 网络安全 >>漏洞预警 >> VMware推出安全更新以解决零日漏洞
详细内容

VMware推出安全更新以解决零日漏洞

时间:2020-12-07        阅读

VMware已推出安全更新,以解决一个零日漏洞,该漏洞会影响适用于Windows和Linux系统的VMware Workspace One Access和其他平台。


该漏洞的索引号为CVE-2020-4006,已于上个月公开披露,VMware官方警告说,它可能允许攻击者控制易受攻击的系统。该公司还发布了变通方法说明,以帮助管理员减轻受影响系统上的漏洞。


VMware感谢美国国家安全局(NSA)发现该错误并将其报告给该公司。


CVE-2020-4006是某些VMware产品的管理配置器中存在的命令注入错误,可使攻击者提升特权并在主机Windows和Linux操作系统上运行恶意命令。


该错误会影响VMware Workspace One Access。VMware Workspace One Access连接器;VMware Identity Manager(vIDM);VMware Identity Manager连接器(vIDM连接器);vRealize Suite Lifecycle Manager;和VMware Cloud Foundation。


VMware提供Workspace One作为企业应用程序和身份管理的多合一平台。它可以在Windows和Linux机器上运行,并为用户提供许多不同的模块和功能。


VMware在最新的公告中说:“具有通过端口8443访问管理配置器的网络的恶意行为者,以及用于配置器admin帐户的有效密码,都可以在底层操作系统上以不受限制的特权执行命令。”


“此帐户是受影响产品的内部帐户,并且在部署时设置了密码。恶意参与者必须拥有此密码才能尝试利用CVE-2020-4006。”


VMware最初给该错误提供的CVSSv3严重等级评分为9.1(满分10),严重等级为“严重”。但是,后来发现,想要利用此漏洞的攻击者将需要配置者admin帐户的有效用户名/密码。因此,VMware现在已将该错误的CVSSv3评分修订为7.2,并将其严重等级降低为“重要”。

ots网络logo

OTS网络安全门户主要提供网络信息安全教程、文章、工具,让更多的小伙伴加入我们的社区一起学习。

技术支持: 建站ABC | 管理登录