VMware 近日發布資安通報,指出該公司已推出針對旗下 vRealize Operations 產品的資安更新版本;新版修復一個可能造成駭侵者成功竊得管理者登入資訊的高危險資安漏洞,用戶應立即更新至最新版本。
這個資安漏洞存於 VMware vRealize Operations Manager 系列產品中,該產品可讓用戶管理各種私有雲、公有雲或混合環境,特色是結合人工智慧技術,可做到自動管理。
該漏洞是由資安廠商 Positive Technology 旗下的資安專家所發現,並提報此漏洞給 VMware;這個漏洞存於 vRealize Operations Manager API 中,屬於伺服器端連線要求偽造漏洞(Server Side Request Forgery);駭侵者可利用這個漏洞,無需經過登入手續或使用者互動,就可以用很簡單的手法竊得管理者登入資訊,便於發動進一步的駭侵攻擊。
這個漏洞的 CVE 編號為 CVE-2021-21975,其 CVSS 危險程度評分高達 8.6 分,屬於嚴重危險等級。主要影響的 vRealize Operations Manager 版本為 7.5.0、8.0.0、8.0.1、8.1.0、8.1.1、8.2.0、8.3.0。
VMware 在其發布的資安通報中,針對不同 vRealize Operations Manager 版本提供了暫時解決方案與資安更新檔案;使用上述版本 vRealize Operations Manager 的用戶,應即按照 VMware 官方的說明與指示進行更新,或使用暫時解決方案,以避免駭侵者透過此漏洞發動攻擊的風險。
- CVE編號:CVE-2021-21975
- 影響產品/版本:VMware vRealize Oerations Manager 7.5.0、8.0.0、8.0.1、8.1.0、8.1.1、8.2.0、8.3.0。
- 解決方案:套用官方推出的暫時解決方案,並更新到最新版本。
本文轉載自TWCERT/CC。