Bleeping Computer 網(wǎng)站消息，VMware 發(fā)布警告，稱其多個(gè)產(chǎn)品中存在關(guān)鍵漏洞，攻擊者能夠利用這些漏洞發(fā)起遠(yuǎn)程代碼執(zhí)行攻擊，用戶應(yīng)該立即修補(bǔ)，以防止遭受網(wǎng)絡(luò)攻擊。

VMware 在公告中警示，客戶應(yīng)根據(jù) VMSA-2021-0011 中的指示，立即修補(bǔ)或緩解這些漏洞，不然會(huì)造成很?chē)?yán)重的后果。

另外，聲明中強(qiáng)調(diào)，每個(gè)客戶所擁有的環(huán)境不盡相同，對(duì)風(fēng)險(xiǎn)的容忍度也不同，有不同的安全控制和深度防御來(lái)減輕風(fēng)險(xiǎn)，因此是否修補(bǔ)漏洞需要客戶自己決定，但是鑒于漏洞的嚴(yán)重性，強(qiáng)烈建議用戶應(yīng)立即采取行動(dòng)，修補(bǔ)漏洞。

五個(gè)關(guān)鍵漏洞的補(bǔ)丁

目前，修補(bǔ)的關(guān)鍵安全漏洞清單包括一個(gè)服務(wù)器端模板注入遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-22954)，兩個(gè) OAuth2 ACS認(rèn)證繞過(guò)漏洞(CVE-2022-22955，CVE-2022-22956)，以及兩個(gè) JDBC 注入遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-22957，CVE-2022-22958)。

值得一提的是，VMware 還修補(bǔ)了一些其他高度和中度嚴(yán)重漏洞。據(jù)悉，這些漏洞可被攻擊者用于跨站請(qǐng)求偽造(CSRF)攻擊(CVE-2022-22959)，提升權(quán)限(CVE-2022-22960)，以及未經(jīng)授權(quán)獲取信息(CVE-2022-22961)。

受安全漏洞影響的 VMware 產(chǎn)品完整列表如下：

• VMware Workspace ONE Access (訪問(wèn))
• VMware身份管理器(vIDM)
• VMware vRealize Automation (vRA)
• VMware云計(jì)算基礎(chǔ)
• vRealize Suite (生命周期管理器)

公告最后，VMware 表示，公告發(fā)布之前，沒(méi)有發(fā)現(xiàn)這些漏洞在野外被利用的證據(jù)。

其他解決辦法

VMware 的客戶群體中，有一些不能立即給其設(shè)備打補(bǔ)丁的人，針對(duì)這一情況，VMware 提供了一種臨時(shí)解決方案，要求管理員在受影響的虛擬設(shè)備上運(yùn)行一個(gè)基于Python的腳本。

VMware 表示，臨時(shí)解決方案雖然簡(jiǎn)單方便，但不能徹底消除漏洞，而且可能帶來(lái)額外的復(fù)雜性，但是打補(bǔ)丁則不會(huì)。當(dāng)然，選擇打補(bǔ)丁或使用臨時(shí)方案是由客戶決定，但是想要完全消除這些漏洞，唯一方法是應(yīng)用補(bǔ)丁，因此 VMware 強(qiáng)烈建議用戶盡快打補(bǔ)丁。

值得一提的是，前幾天，VMware 還發(fā)布了安全更新，以解決 VMware Tanzu Application Service for VMs、VMware Tanzu Operations Manager 和 VMware Tanzu Kubernetes Grid Integrated Edition(TKGI)/中的 Spring4Shell RCE 關(guān)鍵漏洞。

參考文章：https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-vulnerabilities-in-multiple-products/