时间:2020-04-11 来源:系统堂 游览量: 次
VMWare vCenter Server中存在一个严重漏洞CVE-2020-3952,供应商现已针对该漏洞发布了一个安全更新。
vCenter Server使IT管理员可以从单个控制台集中管理企业环境中的虚拟化主机和虚拟机。美国网络安全和基础结构安全局(CISA)于2020年4月10日发布了有关此产品的安全警报。该安全警告指的是VMware Security Advisory VMSA-2020-0006。
漏洞CVE-2020-3952
安全研究人员私下向供应商报告了VMware vCenter Server中的CVE-2020-3952,现在其CVE指数为10(可能的最高分)。问题在于,VMware vCenter Server随附的vmdir作为嵌入式或外部Platform Services Controller(PSC)的一部分,在某些情况下无法正确实现访问控制。
可以通过网络访问受影响的vmdir实例的攻击者可能能够提取高度敏感的信息。此信息可用于破坏vCenter Server或依赖vmdir进行身份验证的其他服务。
有什么影响?
从早期版本(例如6.0或6.5)更新时,CVE-2020-3952在6.7u3f之前会影响vCenter Server 6.7(嵌入式或外部PSC)。全新安装vCenter Server 6.7(嵌入式或外部PSC)不会受到影响。
VMware已发布知识库文章78543,其中包含有关如何确定安装是否受此漏洞影响的指南。VMware建议您升级到vCenter Server vCenter Server 6.7u3f。有关更多详细信息,请参见VMware Security Advisory SA-2020-0006。