集团新闻

        VMware发布了临时解决方案,以解决其产品中的一个严重漏洞,攻击者可以利用该漏洞控制受影响的系统。

        这家虚拟化软件和服务公司在其咨询中指出:“恶意攻击者可以通过端口8443访问网络上的管理配置器,配置器管理员帐户的有效密码,从而可以在底层操作系统上以不受限制的特权执行命令。”

        该命令注入漏洞的编号为CVE-2020-4006,其CVSS评分为9.1(满分10),影响VMware Workspace One Access、Access Connector、Identity Manager和Identity Manager Connector。

        虽然该公司表示此漏洞的补丁“即将发布”,但并没有说明预计发布的具体日期。目前尚不清楚该漏洞是否被攻击者利用。

        受影响产品的完整列表如下:

  1. VMware Workspace One Access(适用于Linux和Windows的版本20.01和20.10)
  2. VMware Workspace One Access Connector(适用于Windows的版本20.10、20.01.0.0和20.01.0.1)
  3. VMware Identity Manager(适用于Linux和Windows的版本3.3.1、3.3.2和3.3.3)
  4. VMware Identity Manager Connector(适用于Linux的版本3.3.1、3.3.2和Windows的3.3.1、3.3.2、3.3.3)
  5. VMware Cloud Foundation(适用于Linux和Windows的4.x版)
  6. vRealize Suite Lifecycle Manager(适用于Linux和Windows版本8.x)

        VMware表示,该解决方案仅适用于托管在8443端口上的管理配置器服务。

        该公司表示,“解决方法实施后,将无法更改配置器管理的设置。如果需要更改,需要先恢复原来的状态,进行必要的更改后再次禁用,直到补丁可用。”