聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
周二,虚拟化技术巨头 VMware 发布重大安全更新,修复了 Aria Operations for Networks 产品线中的至少两个严重漏洞。
VMware 在安全公告中指出,恶意黑客可利用这些漏洞绕过 SSH 认证并获得对 Aria Operations for Networks 命令行界面的访问权限。VMware 为该网络认证绕过问题分配的编号是CVE-2023-34039,CVSS评分为9.8。
该公司提到,“Aria Operations for Networks 中包含一个因缺乏唯一加密密钥生成而造成的认证绕过漏洞。VMware 将该漏洞的严重性评级为‘严重’等级,且CVSSv3 基础评分为9.8。”
VMware Aria Operations for Networks 产品此前名为 vRealize Network Insight,供企业用于监控、发现和分析网络和应用程序,在云间构建安全的网络基础设施。
VMware 指出,Aria Operations for Networks 收集器受该漏洞影响,建议用户升级平台设备进行修复。
VMware 还发布了另外一个漏洞CVE-2023-20890的补丁,该漏洞可导致对VMware Aria Operations for Networks具有管理员访问权限的认证恶意人员将文件写入任意位置中。
VMware 一直在修复 Aria Operations for Networks 产品中的安全漏洞,最近修复了遭远程在野利用的命令注入漏洞。而该产品也出现在美国CISA的必修清单中。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
戴尔 Compellent 硬编码密钥暴露 VMware vCenter 管理员凭据
VMware 修复 vRealize 网络分析工具中的严重漏洞
VMware 修复在 Pwn2Own 大赛上发现的两个严重0day
VMware 修复严重的 vRealize 反序列化漏洞,可导致任意代码执行
VMware 修复严重的Carbon Black App Control漏洞
原文链接
https://www.securityweek.com/vmware-patches-major-security-flaws-in-network-monitoring-product/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~