【漏洞通告】VMware產(chǎn)品多個漏洞安全風險通告(CVE-2021-22033,CVE-2021-22035,CVE-2021-22036)

yh-security 2021-10-14 11:07:49 漏洞播報 0個評論

安全通告

VMware產(chǎn)品多個漏洞安全風險通告

發(fā)布日期：2021-10-14

漏洞描述

2021年10月14日，監(jiān)測到VMware官方發(fā)布安全補丁的通告，共修復(fù)了3個安全漏洞。

序號	漏洞名	漏洞編號	嚴重等級	影響版本
1	VMware vRealize Operations?SSRF漏洞	CVE-2021-22033	低危	8.0 <= VMware vRealize Operations?< 8.6?、VMware vRealize Operations?7.X VMware Cloud Foundation (vROps) 4.X、3.X vRealize Suite Lifecycle Manager (vROps) 8.X
2	VMware vRealize Log Insight CSV注入漏洞	CVE-2021-22035	中危	VMware vRealize Log Insight?8.4.1、8.4.0 VMware vRealize Log Insight 8.3 VMware vRealize Log Insight 8.2 VMware vRealize Log Insight 8.1.1、8.1.0、8.0.0、4.X VMware Cloud Foundation (vRLI)?4.X vRealize Suite Lifecycle Manager (vRLI)?8.X
3	VMware vRealize Orchestrator重定向漏洞	CVE-2021-22036	中危	8.0 <= VMware vRealize Orchestrator?< 8.6

組件介紹

VMware vRealize Operations是一個面向私有云、混合云和多云環(huán)境的IT 運維管理平臺，整合了 AI和預(yù)測性分析。

VMware vRealize Log Insight則是為任何環(huán)境下的基礎(chǔ)設(shè)施和應(yīng)用程序提供智能的日志管理。

VMware vRealize Orchestrator是一個現(xiàn)代工作流自動化平臺，它簡化和自動化復(fù)雜的數(shù)據(jù)中心基礎(chǔ)設(shè)施任務(wù)，以提高擴展性和靈活性。

漏洞危害

攻擊者可利用這些漏洞在未授權(quán)的情況下，構(gòu)造惡意攻擊。

修復(fù)方案

1、針對VMware vRealize Operations SSRF漏洞 CVE-2021-22033，當前官方發(fā)布的最新版本已經(jīng)修復(fù)此漏洞，建議受影響的用戶及時更新官方的最新版本，鏈接如下：

https://customerconnect.vmware.com/downloads/details?downloadGroup=VROPS-860&productId=1032

2、針對VMware vRealize Log Insight CSV注入漏洞CVE-2021-22035 ,當前官方已發(fā)布受影響版本的對應(yīng)補丁，建議受影響的用戶及時更新官方的安全補丁。鏈接如下：

https://customerconnect.vmware.com/patch/

3、針對VMware vRealize Orchestrator重定向漏洞 CVE-2021-22036，當前官方發(fā)布的最新版本已經(jīng)修復(fù)此漏洞，建議受影響的用戶及時更新官方的最新版本，鏈接如下：

https://customerconnect.vmware.com/downloads/details?downloadGroup=VROVA-860&productId=1206

參考鏈接