VMware 了一份安全公告 VMSA-2022-0004,提供了針對中國天府杯期間發現的影響 VMware ESXi、Workstation、Fusion 和 Cloud Foundation 的多個漏洞的修補程式程式。公告涵蓋了 CVE-2021-22040、CVE-2021-22041、CVE-2021-22042、CVE-2021-22043 和 CVE-2021-22050。
VMware 方面客戶「以安全強化設定」部署其產品,同時應用所有的更新、安全修補程式和緩解措施。
VMware ESXi、Workstation 和 Fusion 在 XHCI USB 控制器中包含一個 use-after-free 漏洞。VMware 已評估此問題的嚴重性在 ,CVSSv3 基礎得分最高為 。且 VMware ESXi、Workstation 和 Fusion 在 UHCI USB 控制器包含一個 double-fetch 漏洞。嚴重性評估也在 ,CVSSv3 基礎得分最高同樣也為。在虛擬機器器上擁有本地管理許可權的惡意行為者都可能利用這兩個問題,以在主機上執行的虛擬機器器 VMX 程序的身份執行程式碼。
VMware 表示,由於 VMX 有權存取 settingsd authorization tickets,因此 ESXi 包含未經授權的存取漏洞。它給該問題的最高 CVSSv3 基礎評分為 8.2,並指出在 VMX 程序中擁有許可權的駭客可能只能存取作為高許可權使用者身份執行的設定服務。
VMware ESXi 還存在一個 TOCTOU(Time-of-check Time-of-use)漏洞,存在於處理臨時檔案的方式中;最高 CVSSv3 基礎得分也是 8.2,因為它允許具有 settingsd 存取許可權的惡意行為者可以通過編寫任意檔案來提升許可權。
ESXi 在 rhttpproxy 中包含一個緩慢的 HTTP POST 拒絕服務漏洞。VMware 已評估此問題的嚴重性在中等嚴重程度,最高 CVSSv3 基礎得分為 5.3。具有 ESXi 網路存取許可權的惡意行為者可能會利用這個問題,通過使用多個請求 overwhelming rhttpproxy 服務來建立一個 denial-of-service 條件。
雖然 VMware 敦促使用者應用所有修補程式,但公告也,從虛擬機器器中移除 USB 控制器可能有助於解決這個問題。不過此舉在規模上或許是不可行的,並且「不會像打修補程式那樣消除潛在威脅」。
「這個漏洞的後果是嚴重的,特別是如果攻擊者可以存取你環境中的工作負載。使用 ITIL 變更型別定義來實踐變更管理的組織會認為這是一種 emergency change」。
詳情可