VMware已推出修补程序更新

VMware已推出修补程序，以解决vCenter Server中的一个关键安全漏洞，对手可以利用该漏洞在服务器上执行任意代码。

该问题被追踪为CVE-2021-21985（CVSS评分9.8），源于虚拟SAN（vSAN）健康检查插件中缺少输入验证，该插件在vCenter Server中默认启用。“通过网络访问端口443的恶意参与者可能会利用此问题，在承载vCenter Server的底层操作系统上以不受限制的权限执行命令，”VMware在其建议中说。

VMware vCenter Server是一种服务器管理实用程序，用于从单个集中位置控制虚拟机、ESXi主机和其他相关组件。该漏洞影响VCCESS服务器版本6.5、6.7和7以及云基础版本3。x和4。x、 VMware认为360诺亚实验室的Ricter Z报告了该漏洞。

该补丁版本还纠正了vSphere客户端中影响虚拟SAN运行状况检查、站点恢复、vSphere Lifecycle Manager和VMware Cloud Director可用性插件（CVE-2021-21986，CVSS分数：6.5）的身份验证问题，从而允许攻击者在不进行任何身份验证的情况下执行插件允许的操作。

虽然VMware强烈建议客户应用“紧急更改”，但该公司已经发布了一个解决方案，将插件设置为不兼容。该公司指出：“禁用这些插件将导致插件提供的管理和监控功能丧失。”。

“将vCenter服务器置于可直接从Internet访问的网络上的组织[…]应审核他们的系统是否存在漏洞，”VMware补充道他们还应该采取措施，在其基础设施的管理界面上实施更多的外围安全控制（防火墙、ACL等）。"

CVE-2021-21985是VMware在vCenter服务器中修复的第二个关键漏洞。今年2月早些时候，它解决了vCenter Server插件（CVE-2021-21972）中的一个远程代码执行漏洞，该漏洞可能被滥用，在托管服务器的底层操作系统上以不受限制的权限运行命令。

vCenter漏洞的修复也是在该公司修补了VMware vRealize Business for Cloud（CVE-2021-21984，CVSS分数：9.8）中的另一个关键远程代码执行漏洞之后进行的，该漏洞是由于未经授权的端点可能被具有网络访问权限的恶意参与者利用，在设备上运行任意代码。

此前，VMware已经推出了更新，以修复VMware炭黑云工作负载中的多个缺陷，并实现Operations Manager解决方案。