漏洞情报 | VMSA-2024-0012:VMware vCenter Server 更新解决堆溢出和权限提升漏洞

漏洞情报 | VMSA-2024-0012:VMware vCenter Server 更新解决堆溢出和权限提升漏洞

收到邮件,显示Critical Severity级别的漏洞,按照惯例,我把补丁下载地址和升级方法一并发出。由于VMware支持门户迁移到博通网站,很多客户反馈暂时无法下载补丁,文末我汇总到百度网盘了。

官方已发布更新修复,参考链接如下:https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453

一、漏洞描述:

具有 vCenter Server 网络访问权限的远程攻击者通过发送特制的网络数据包在 DCERPC 协议实施过程中来触发堆溢出漏洞,从而导致远程代码执行。(CVE-2024-37079、CVE-2024-37080)

二、受影响产品:

VMware vCenter Server
VMware Cloud Foundation

三、受影响版本

VMware ProductVersionRunning OnCVECVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
vCenter Server 8.0AnyCVE-2024-37079, CVE-2024-37080, CVE-2024-370819.89.87.8Critical8.0 U2dNoneFAQ
vCenter Server 8.0AnyCVE-2024-37079, CVE-2024-370809.89.8Critical8.0 U1eNoneFAQ
vCenter Server7.0AnyCVE-2024-37079, CVE-2024-37080, CVE-2024-370819.89.87.8Critical7.0 U3rNoneFAQ

目前官方已有可更新版本,建议受影响用户升级至最新版本:

VMware vCenter Server 8.0 U2d

VMware vCenter Server 8.0 U1e

VMware vCenter Server 7.0 U3r

VMware Cloud Foundation 5.x/4.x KB88287

四、升级包安装和下载路径:

vCenter补丁安装可参考文档:如何升级vCenter(VCSA)补丁?

补丁下载:VMware常用软件ISO下载汇总(2024年6月更新)

dinghui.org

关注虚拟化及IT技术发展!

发表评论


The reCAPTCHA verification period has expired. Please reload the page.