查看: 5097|回复: 2
收起左侧

[分享] VMware多款虚拟化产品爆重大堆溢出漏洞,可执行任意代码

[复制链接]
Kalium
发表于 2022-1-11 23:37:57 | 显示全部楼层 |阅读模式
https://www.163.com/dy/article/GT9R933G0552KI0B.html
最新的网络安全研究发现,VMware修复了其ESXi、Workstation 和 Fusion 产品的重大安全漏洞,黑客可以将其武器化用以控制整个系统。
该漏洞与一个堆溢出漏洞有关,漏洞号为CVE-2021-22045(CVSS 评分:7.7),如果成功利用该漏洞,将可实现执行任意代码。

VMware在 1 月 4 日发布的公告中表示,可以访问具有 CD-ROM 设备仿真的虚拟机的攻击者可能能够利用此漏洞与其他问题一起从虚拟机执行虚拟机管理程序上的代码。”成功利用需要将 CD 映像附加到虚拟机。

该漏洞影响 ESXi 版本 6.5、6.7 和 7.0、工作站版本 16.x 和 Fusion 版本 12.x,VMware公司目前尚未发布适用于 ESXi 7.0 的补丁。在此期间,建议用户禁用所有正在运行的虚拟机上的所有 CD-ROM/DVD 设备,以防止任何潜在的风险:
  • 使用 vSphere Web Client 登录到 vCenter Server 系统;
  • 右键单击虚拟机,然后单击编辑设置;
  • 选择 CD/DVD 驱动器并取消选中“已连接”和“开机时连接”并删除所有附加的 ISO;


由于VMware虚拟化产品在企业中的广泛应用,该漏洞造成的潜在威胁巨大,建议企业迅速采取行动,将风险管控起来。
king871723
发表于 2022-1-21 09:43:15 | 显示全部楼层
这个挺厉害,从一个几乎被人遗忘的CDROM打开缺口。
yehoo2046
发表于 2022-2-13 19:28:45 | 显示全部楼层
漏洞无处不在啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 14:43 , Processed in 0.117663 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表