[漏洞预警] VMware vRealize Operations Manager SSRF 与文件写入漏洞

X0_0X 2021-03-31
专栏 - 资讯 发布于 2021-03-31 15:14:02 阅读 102 评论 0

2021年3月31日,阿里云应急响应中心监测到 VMware 官方发布安全公告,披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF 和 CVE-2021-21983 VMware vRealize Operations Manager API 任意文件写入漏洞。

01漏洞描述

VMware是一家云基础架构和移动商务解决方案厂商,vRealize Operations Manager是vmware 官方提供的针对vmware虚拟化平台的一套运维管理解决方案。2021年3月31日,VMware 官方发布安全公告,披露了CVE-2021-21975 VMware vRealize Operations Manager API SSRF 和 CVE-2021-21983 VMware vRealize Operations Manager API 任意文件写入漏洞。攻击者结合两个漏洞构造恶意请求,可在无需认证的情况下执行任意代码,控制服务器。阿里云应急响应中心提醒 VMware 用户尽快采取安全措施阻止漏洞攻击。

02漏洞复现

图片

03漏洞评级

  • CVE-2021-21975

    VMware vRealize Operations Manager API SSRF 高危

  • CVE-2021-21983

    VMware vRealize Operations Manager API 任意文件写入漏洞 高危

04影响版本

  • vRealize Operations Manager 8.3.0

  • vRealize Operations Manager 8.2.0

  • vRealize Operations Manager 8.1.1

  • vRealize Operations Manager 8.1.0

  • vRealize Operations Manager 8.0.1

  • vRealize Operations Manager 8.0.0

  • vRealize Operations Manager 7.5.0

05安全版本

官方未发布新版本,但已提供对应版本的相关补丁

06安全建议

1、根据 vRealize Operations Manager 版本下载并更新合适的补丁。在安装补丁前建议做好相应备份。补丁下载地址请见:https://www.vmware.com/security/advisories/VMSA-2021-0004.html

2、利用阿里云安全组功能设置 vRealize Operations Manager 仅对可信地址开放。

07相关链接

https://www.vmware.com/security/advisories...

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!