漏洞预警 | VMware vCenter Server多个漏洞

0x00 漏洞编号
  • CVE-2023-20892

  • CVE-2023-20893

  • CVE-2023-20894
  • CVE-2023-20895
  • CVE-2023-20896
0x01 危险等级
  • 高危
0x02 漏洞概述

VMware vCenter Server是VMware虚拟化管理平台,广泛的应用于企业私有云内网中。通过使用vCenter,管理员可以轻松的管理上百台虚拟化环境 。

0x03 漏洞详情

CVE-2023-20892
漏洞类型:缓冲区溢出
影响:执行任意代码

简述:由于在DCERPC协议的实现中使用了未初始化的内存,vCenter服务器包含一个堆溢出漏洞。对vCenter Server有网络访问权的恶意行为者可以利用这个漏洞在使用了vCenter Server的底层操作系统上执行任意代码。

CVE-2023-20893
漏洞类型:释放重引用
影响:执行任意代码

简述:vCenter Server在DCERPC协议的实现中包含一个释放重引用漏洞。对vCenter Server有网络访问权的恶意行为者可以利用这个漏洞在使用了vCenter Server的底层操作系统上执行任意代码。

CVE-2023-20894
漏洞类型:越界写入
影响:内存损坏

简述:vCenter Server在DCERPC协议的实现中包含一个越界写入漏洞。对vCenter Server有网络访问权的恶意行为者可能会通过发送特制的数据包来触发越界写入,导致内存损坏。

CVE-2023-20895
漏洞类型:越界读取
影响:认证绕过

简述:vCenter Server在DCERPC协议的实现中包含一个越界读取的漏洞。对vCenter Server有网络访问权的恶意行为者可能会触发内存损坏的漏洞,从而绕过认证。

CVE-2023-20896
漏洞类型:越界读取
影响:拒绝服务
简述:vCenter Server在DCERPC协议的实现中包含一个越界读取漏洞。对vCenter Server有网络访问权的恶意行为者可能通过发送特制的数据包触发越界读取,导致某些服务(vmcad、vmdird和vmafdd)的拒绝服务。

0x04 影响版本
  • 8.0 <= VMware vCenter Server < 8.0U1b

  • 7.0 <= VMware vCenter Server < 7.0U3m

0x05 修复建议

目前官方已发布漏洞修复版本,建议用户升级到安全版本
https://www.vmware.com/cn/products/vcenter.html


免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐