• 發布單位:TWCERT/CC
• 更新日期:2020-05-20
• 點閱次數:2627

虛擬計算環境大廠 VMware 日前公布最新資安修補資訊，指出該公司已針對 CVE-2020-3952 這個嚴重的資安漏洞，發表專屬修補程式。請目前所有使用 vCenter Server 產品的用戶，立即更新以避免資安風險。

據 VMware 發表的資安通報指出，這個 CVE-2020-3952 的資安漏洞， 在某些特定情形之下，會造成 VMware vCenter Server 內嵌或外部的「平台服務控制單元」（Paltform Services Controller）發生錯誤，進而讓駭侵者於 VMware Directory Service 中取得受害者的各種機敏資料，並進而取得 VMWare vCenter Server 或其他 VMware 產品的控制權。

在 CVSSv3 評級標準下，這個極嚴重資安漏洞的危險評分高達滿分的 10.0 分。

受到這個資安漏洞影響的 VMware 產品，主要是於 Windows Server 或虛擬環境下執行的 vCenter Server 6.7，而且必須是自先前的 6.0 或 6.5 升級上來的版本，因為這兩個版本的 vmdir 布署流程容易受到駭侵者的攻擊。

VMware 建議用戶或系統管理者，應立即檢查自己的 VMware vCenter Server 版本，若為上述的易受攻擊版本，應立即按照 VMware 提供的原廠指示，將其升級至 6.7u3f 或 7.0 版本。

VMware 是在接獲不明來源的密報後知悉此漏洞的存在，並且很快地推出修補程式。

• CVE編號：CVE-2020-3952
• 影響版本：自 VMware vCenter Server 6.0 或 6.5 升級的版本 6.7
• 解決方案：升級至 6.7u3f 或 7.0