安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
VMware修补了云服务交付平台中的主要安全漏洞
2020-06-03 10:51:22 【

网络安全公司Citadelo发布了有关可能威胁的安全警告之后,VMware在其云服务交付平台VMware Cloud Director中修复了一个严重漏洞。

Citadelo说,发现了该漏洞,同时对使用VMware Cloud Director的《财富》 500强企业客户端进行了安全审核。该软件已被全球的企业和云服务供应商所采用。

渗透测试公司将VMware Cloud Director中的错误归因于平台无法正确处理输入,该错误有助于托管自动化工具,云迁移,虚拟数据中心管理和数据中心扩展。

VMware回应

Citadelo警告说,黑客可以利用漏洞(跟踪为CVE-2020-3956)进行执行代码执行攻击,并“从技术上”承担对与给定基础结构链接的所有私有云的控制。


该错误会影响VMware Cloud Director版本10.1.0及更低版本,以及Linux安装程序和PhotonOS设备上的vCloud Director 8x-10x。

Citadelo补充说,通过更改登录机制,从组织管理员到vCloud管理员的特权升级以及通过数据库修改来篡改虚拟机,利用网络安全漏洞利用网络错误的潜在后果可能涉及凭证失窃。

作为对该漏洞的详尽分析的一部分,这家网络安全公司表示,除了可以访问包含密码哈希(包括客户分配)的内部系统数据库之外,它还可以读取电子邮件,IP地址和其他机密客户端数据。


作为对该通报的回应,VMware将该漏洞(严重等级为CVSSV3评分为8.8)描述为“重要”漏洞,并提供了修补程序以及知识库中引用的解决方法。

云计算和虚拟化软件提供商承认,经过身份验证的参与者可能会路由其“恶意流量”其云服务交付平台(之前称为vCloud Director),从而触发执行任意远程代码。

VMware指出,黑客可以通过基于Flex和HTML5的用户界面,API Explorer界面和API访问来利用VMware Cloud Director中的漏洞。

该漏洞曝光后,公司于4月3日对其进行了分类和复制,从而在4月30日构建了补丁。随后,VMware在5月披露了有关此补丁的信息,以使VMware Cloud Director的用户可以对其补丁进行补丁。及时建立。最终,VMware在5月19日向其客户发布了安全公告。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇Firefox 77,Tor浏览器9.5发行了.. 下一篇VMware Cloud Director漏洞对云提..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800