有声小说在线收听网,盗墓笔记第二季

【漏洞通告】 vmware vRealize 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-3943）

漏洞描述

VMware vRealize Suite 是專為混合云而構(gòu)建的云管理平臺。

VMware Horizon 是由 vmware 公司推出的一款針對Windows、Linux及Mac OS X，所開發(fā)的虛擬桌面軟件。

JMX（Java Management Extensions，即Java管理擴(kuò)展）是Java平臺上為應(yīng)用程序、設(shè)備、系統(tǒng)等植入管理功能的框架。JMX可以跨越一系列異構(gòu)操作系統(tǒng)平臺、系統(tǒng)體系結(jié)構(gòu)和網(wǎng)絡(luò)傳輸協(xié)議，靈活的開發(fā)無縫集成的系統(tǒng)、網(wǎng)絡(luò)和服務(wù)管理應(yīng)用。

禹宏信安建議廣大用戶及時(shí)更新 vRealize Operations for Horizon Adapter。做好資產(chǎn) 自查/自檢/預(yù)防工作，以免遭受攻擊。

漏洞編號

CVE-2020-3943

漏洞危害

該漏洞出現(xiàn)在 vRealize 組件在實(shí)現(xiàn)和 Horizon 組件進(jìn)行協(xié)作的時(shí)候，該協(xié)作程序啟用了不安全的 JMX RMI 服務(wù)，進(jìn)而導(dǎo)致任意代碼執(zhí)行漏洞的出現(xiàn)。

漏洞等級

高危
受影響版本

vRealize Operations for Horizon Adapter <= 6.6.0

vRealize Operations for Horizon Adapter <= 6.7.0

修復(fù)方案

1.更新 vRealize Operations for Horizon Adapter 至

6.6.1

6.7.1

由于核心問題產(chǎn)生在 JMX RMI 服務(wù)上，用戶可以在針對Java運(yùn)行時(shí)環(huán)境檢測 com.sun.management.jmxremote.port，并對相應(yīng)的端口通信進(jìn)行限制以緩解漏洞所帶來的影響。

參考鏈接

https://www.vmware.com/security/advisories/VMSA-2020-0003.html

漏洞播報(bào)

【漏洞通告】 vmware vRealize 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-3943）

聯(lián)系我們：cert@chaosec.com