首頁 > 安全研究 > 安全通報 > 安全通告

vRealize Operations for Horizon Adapter 安全漏洞風險通告

發布時間 2020-02-24

漏洞編號和級別


CVE編號:CVE-2020-3943,危險級別:嚴重,CVSS分值:廠商自評:9.0,官方未評定

CVE編號:CVE-2020-3944,危險級別:高危,CVSS分值:廠商自評:8.6,官方未評定

CVE編號:CVE-2020-3945,危險級別:中危,CVSS分值:廠商自評:5.3,官方未評定


影響版本


vRealize Operations for Horizon Adapter <= 6.6.0

vRealize Operations for Horizon Adapter <= 6.7.0


漏洞概述


VMware vRealize Suite 是專為混合云而構建的云管理平臺。VMware Horizon 是由 vmware 公司推出的一款針對Windows、Linux及Mac OS X,所開發的虛擬桌面軟件。


近日,vmware 官方發布了編號為 VMSA-2020-0003 的安全更新。其中包括嚴重漏洞CVE-2020-3943、高危漏洞CVE-2020-3944和中危漏洞CVE-2020-3945,概述如下:


CVE-2020-3943


該漏洞出現在 vRealize 組件在實現和 Horizon 組件進行協作的時候,該協作程序啟用了不安全的 JMX RMI 服務,進而導致任意代碼執行漏洞的出現。


JMX(Java Management Extensions,即Java管理擴展)是Java平臺上為應用程序、設備、系統等植入管理功能的框架。JMX可以跨越一系列異構操作系統平臺、系統體系結構和網絡傳輸協議,靈活的開發無縫集成的系統、網絡和服務管理應用。


CVE-2020-3944


vRealize Operations for Horizon Adapter具有不正確的信任存儲配置,遠程攻擊者可利用該漏洞繞過身份驗證。


CVE-2020-3945


該漏洞的原因是Horizon適配器的vRealize操作與Horizon視圖之間的配對實現不正確,導致信息泄漏。


漏洞驗證


暫無PoC/EXP。


修復建議


目前廠商已發布新版本以修復漏洞,請更新至6.6.1和6.7.1,獲取鏈接:https://www.vmware.com/security/advisories/VMSA-2020-0003.html。


參考鏈接


https://www.vmware.com/security/advisories/VMSA-2020-0003.html


上一篇 下一篇