vRealize Operations for Horizon Adapter 安全漏洞风险通告
发布时间 2020-02-24漏洞编号和级别
CVE编号:CVE-2020-3943,危险级别:严重,CVSS分值:厂商自评:9.0,官方未评定
CVE编号:CVE-2020-3944,危险级别:高危,CVSS分值:厂商自评:8.6,官方未评定
CVE编号:CVE-2020-3945,危险级别:中危,CVSS分值:厂商自评:5.3,官方未评定
影响版本
vRealize Operations for Horizon Adapter <= 6.6.0
vRealize Operations for Horizon Adapter <= 6.7.0
漏洞概述
VMware vRealize Suite 是专为混合云而构建的云管理平台。VMware Horizon 是由 vmware 公司推出的一款针对Windows、Linux及Mac OS X,所开发的虚拟桌面软件。
近日,vmware 官方发布了编号为 VMSA-2020-0003 的安全更新。其中包括严重漏洞CVE-2020-3943、高危漏洞CVE-2020-3944和中危漏洞CVE-2020-3945,概述如下:
CVE-2020-3943
该漏洞出现在 vRealize 组件在实现和 Horizon 组件进行协作的时候,该协作程序启用了不安全的 JMX RMI 服务,进而导致任意代码执行漏洞的出现。
JMX(Java Management Extensions,即Java管理扩展)是Java平台上为应用程序、设备、系统等植入管理功能的框架。JMX可以跨越一系列异构操作系统平台、系统体系结构和网络传输协议,灵活的开发无缝集成的系统、网络和服务管理应用。
CVE-2020-3944
vRealize Operations for Horizon Adapter具有不正确的信任存储配置,远程攻击者可利用该漏洞绕过身份验证。
CVE-2020-3945
该漏洞的原因是Horizon适配器的vRealize操作与Horizon视图之间的配对实现不正确,导致信息泄漏。
漏洞验证
暂无PoC/EXP。
修复建议
目前厂商已发布新版本以修复漏洞,请更新至6.6.1和6.7.1,获取链接:https://www.vmware.com/security/advisories/VMSA-2020-0003.html。
参考链接
https://www.vmware.com/security/advisories/VMSA-2020-0003.html
京公网安备11010802024551号