VMware发布修补程序以修复影响多个产品的关键缺陷

VMware发布了多个产品的安全更新，以解决一个可能被利用以获取机密信息的关键漏洞。

追踪为CVE-2021-22002（CVSS得分：8.6）和CVE-2021-22003（CVSS评分：3.7），这些缺陷影响VMware WorkStudio一个Access（Access）、VMware身份管理器（VIDM）、VMware VAware自动化（VRA）、VMware云基金会和VFACE套件生命周期管理器。

CVE-2021-22002涉及VMware Workspace One Access and Identity Manager如何通过篡改主机头，允许通过端口443访问“/cfg”web应用程序和诊断终结点，从而导致服务器端请求。

该公司在其公告中称：“通过网络访问端口443的恶意参与者可能会篡改主机头，以方便访问/cfg web应用程序，此外，恶意参与者可能会在无需身份验证的情况下访问/cfg诊断端点。”。Trendyol的Suleyman Bayir被认为报告了该缺陷。

VMware还解决了一个信息泄露漏洞，该漏洞通过端口7443上无意中暴露的登录界面影响VMware Workspace One Access and Identity Manager。通过网络访问端口7443的攻击者可能会发起暴力攻击，该公司指出：“根据目标帐户的锁定策略配置和密码复杂性，这种攻击可能可行，也可能不可行。”

对于无法升级到最新版本的客户，VMware为CVE-2021-22002提供了一个解决方案脚本，可以独立部署，而无需让vRA设备离线。该公司表示：“该解决方案禁用了解析vIDM配置页面的功能。该端点未在vRA 7.6环境中使用，不会对功能造成任何影响。”。