安全通告
VMware vCenter Server任意文件读取漏洞安全风险通告
发布日期:2021-11-25
漏洞描述
2021年11月25日,监测到VMware发布了vCenter Server的安全更新。
VMware vCenter Server 提供了一个可伸缩、可扩展的平台,为虚拟化管理奠定了基础。VMware vCenter Server(以前称为 VMware Virtual Center),可集中管理 VMware vSphere 环境,与其他管理平台相比,极大地提高了 IT 管理员对虚拟环境的控制。
对此,禹宏信安建议广大用户及时将VMware vCenter Server升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
漏洞编号
CVE-2021-21980
漏洞危害
vSphere Web Client (FLEX/Flash) 包含一个未经授权的任意文件读取漏洞。对 vCenter Server 上的 443 端口具有网络访问权限的黑客可利用此漏洞来获取敏感信息。
漏洞等级
高危
受影响版本
vCenter Server 6.7
vCenter Server 6.5
Cloud Foundation (vCenter Server) 3.x
修复方案
根据影响版本中的信息,排查并升级到以下安全版本:
vCenter Server 6.7 U3p或vCenter Server 6.5 U3r
参考链接
- https://customerconnect.vmware.com/en/downloads/details?downloadGroup=VC67U3P&productId=742&rPId=78421
- https://customerconnect.vmware.com/downloads/details?downloadGroup=VC65U3R&productId=614&rPId=74057