https://event.flydove.net/edm/web/infosecurity01/311626
https://www.informationsecurity.com.tw/seminar/2024_Finance/

新聞

VMware 要求系統管理員立即修補身分驗證繞過資安漏洞

2022 / 08 / 05
編輯部
VMware 要求系統管理員立即修補身分驗證繞過資安漏洞
VMware 日前發布資安通報,要求使用該公司各項軟體系統的管理者,立即進行軟體更新,以修復一個可以繞過身分驗證的嚴重資安漏洞。

這個漏洞的 CVE 編號為 CVE-2022-31656,由資安廠商 VNG Security 旗下的研究人員 Petrus Viet 發現,影響遍及 VMware Workspace ONE Access、Indentity Manager、vRealize Automation 等產品。

該漏洞屬於身分驗證繞過漏洞,駭侵者可利用該漏洞跳過系統的登入驗證程序,在未經授權的情形下進入系統,並可取得系統管理員權限。該漏洞的 CVSS 漏洞危險程度評分高達 9.8 分(滿分為 10 分),其漏洞危險程度評級列為最高的「嚴重」(Critical) 等級。

該公司指出,系統管理員必須依照 VMSA 的指示,立即修補或處理該漏洞。

除了 CVE-2022-31656 外,VMware 同時也修補多個資安漏洞,包括可導致駭侵者遠端執行任意程式碼的 CVE-2022-31658、CVE-2022-31659、CVE-2022-31665),以及可讓駭侵者取得 root 權限的 CVE-2022-31660、CVE-2022-31661、CVE-2022-31664 等。

VMware 指出,如果單位採用 ITIL 進行變更管理,則這些修補會被視為「緊急變更」。

建議使用上述 VMware 產品的用戶,應立即依指示更新系統,修補上述漏洞,以免遭到駭侵者利用尚未修補完成的漏洞發動攻擊。
  • CVE編號:CVE-2022-31656 等
     
  • 影響產品(版本):VMware Workspace ONE Access、Indemtity Manager、vRealize Automation 等產品。
     
  • 解決方案:依照 VMSA 的指示,立即修補或處理該漏洞。
本文轉載自TWCERT/CC。