首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-3952 | VMware信息泄露漏洞通告

發布時間 2020-04-12

0x00 漏洞概述


CVE ID

CVE-2020-3952

時     間

2020-04-11

類  型

信息泄露

等     級

嚴重

遠程利用

影響范圍

Windows和虛擬設備上的vCenter  Server 6.7



0x01 漏洞詳情


VMware vCenter Server是美國威睿(VMware)公司的一套服務器和虛擬化管理軟件。該軟件提供了一個用于管理VMwarevSphere環境的集中式平臺,可自動實施和交付虛擬基礎架構。


VMware修復了一個嚴重漏洞CVE-2020-3952,CVSS評分為10。該漏洞是與目錄服務相關的信息泄露漏洞,可被利用來破壞vCenterServer。


WMware發布的公告中表示:在某些情況下,作為嵌入式或外部Platform Services Controller(PSC)一部分的VMware vCenter Server附帶的vmdir無法正確實現訪問控制。攻擊者能夠提取到高度敏感信息,用于破壞vCenter Server或其他依賴vmdir進行身份驗證的服務。

   


該漏洞影響Windows和虛擬設備上的vCenterServer 6.7版本,并已通過6.7u3f版本進行了修補。Vmware強調,只有從先前版本升級安裝后,vCenter Server才會受影響。如果用戶直接安裝6.7版本,則不會受到影響。


0x02 處置建議


升級vCenter Server 到6.7u3f版本:

https://my.vmware.com/web/vmware/details?productId=742&rPId=44888&downloadGroup=VC67U3F


0x03 相關新聞


https://securityaffairs.co/wordpress/101388/security/cve-2020-3952-vmware-vcenter-server.html


0x04 參考鏈接


https://www.vmware.com/security/advisories/VMSA-2020-0006.html


0x05 時間線



2020-04-09 Vmware官方發布漏洞

2020-04-10 CVE發布該漏洞


上一篇 下一篇