聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

周二，虚拟化技术巨头 VMware 发布重大安全更新，修复了 Aria Operations for Networks 产品线中的至少两个严重漏洞。

VMware 在安全公告中指出，恶意黑客可利用这些漏洞绕过 SSH 认证并获得对 Aria Operations for Networks 命令行界面的访问权限。VMware 为该网络认证绕过问题分配的编号是CVE-2023-34039，CVSS评分为9.8。

该公司提到，“Aria Operations for Networks 中包含一个因缺乏唯一加密密钥生成而造成的认证绕过漏洞。VMware 将该漏洞的严重性评级为‘严重’等级，且CVSSv3 基础评分为9.8。”

VMware Aria Operations for Networks 产品此前名为 vRealize Network Insight，供企业用于监控、发现和分析网络和应用程序，在云间构建安全的网络基础设施。

VMware 指出，Aria Operations for Networks 收集器受该漏洞影响，建议用户升级平台设备进行修复。

VMware 还发布了另外一个漏洞CVE-2023-20890的补丁，该漏洞可导致对VMware Aria Operations for Networks具有管理员访问权限的认证恶意人员将文件写入任意位置中。

VMware 一直在修复 Aria Operations for Networks 产品中的安全漏洞，最近修复了遭远程在野利用的命令注入漏洞。而该产品也出现在美国CISA的必修清单中。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

戴尔 Compellent 硬编码密钥暴露 VMware vCenter 管理员凭据

VMware 修复 vRealize 网络分析工具中的严重漏洞

VMware 修复在 Pwn2Own 大赛上发现的两个严重0day

VMware 修复严重的 vRealize 反序列化漏洞，可导致任意代码执行

VMware 修复严重的Carbon Black App Control漏洞

原文链接

https://www.securityweek.com/vmware-patches-major-security-flaws-in-network-monitoring-product/

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~