按 Enter 到主內容區
:::

TWCERT-電子報

:::

VMware 要求系統管理員立即修補身分驗證繞過資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-08-04
  • 點閱次數:145
VMware 要求系統管理員立即修補身分驗證繞過資安漏洞 TWCERT/CC

CVE編號

CVE-2022-31656 等

內文

虛擬技術大廠 VMware 日前發布資安通報,要求使用該公司各項軟體系統的管理者,立即進行軟體更新,以修復一個可以繞過身分驗證的嚴重資安漏洞。

這個漏洞的 CVE 編號為 CVE-2022-31656,由資安廠商 VNG Security 旗下的研究人員 Petrus Viet 發現,影響遍及 VMware Workspace ONE Access、Indentity Manager、vRealize Automation 等產品。

該漏洞屬於身分驗證繞過漏洞,駭侵者可利用該漏洞跳過系統的登入驗證程序,在未經授權的情形下進入系統,並可取得系統管理員權限。該漏洞的 CVSS 漏洞危險程度評分高達 9.8 分(滿分為 10 分),其漏洞危險程度評級列為最高的「嚴重」(Critical) 等級。

該公司指出,系統管理員必須依照 VMSA 的指示,立即修補或處理該漏洞。

除了 CVE-2022-31656 外,VMware 同時也修補多個資安漏洞,包括可導致駭侵者遠端執行任意程式碼的 CVE-2022-31658、CVE-2022-31659、CVE-2022-31665),以及可讓駭侵者取得 root 權限的 CVE-2022-31660、CVE-2022-31661、CVE-2022-31664 等。

VMware 指出,如果單位採用 ITIL 進行變更管理,則這些修補會被視為「緊急變更」。

建議使用上述 VMware 產品的用戶,應立即依指示更新系統,修補上述漏洞,以免遭到駭侵者利用尚未修補完成的漏洞發動攻擊。

影響產品

VMware Workspace ONE Access、Indemtity Manager、vRealize Automation 等產品。

解決辦法

依照 VMSA 的指示,立即修補或處理該漏洞。
回頁首