首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】VMware Aria Automation訪問控制不當漏洞(CVE-2023-34063)

發布時間 2024-01-18


一、漏洞概述

漏洞名稱

    VMware   Aria Automation訪問控制不當漏洞

CVE   ID

CVE-2023-34063

漏洞類型

訪問控制不當

發現時間

2024-01-17

漏洞評分

9.9

漏洞等級

高危

攻擊向量

網絡

所需權限

利用難度

用戶交互

PoC/EXP

未公開

在野利用

未發現

 

VMware Aria Automation(以前稱為 vRealize Automation)是一個基礎架構自動化平臺,可跨 VMware Cloud 和原生公有云提供安全的自助式多云環境監管和資源生命周期管理。

2024年1月17日,啟明星辰VSRC監測到VMware Aria Automation中修復了一個訪問控制不當漏洞(CVE-2023-34063),該漏洞的CVSSv3評分為9.9。

由于VMware Aria Automation受影響版本中缺乏訪問控制,經過身份驗證的威脅者可利用該漏洞對遠程組織和工作流程進行未授權訪問,可能導致信息泄露或執行未授權操作。

 

 

二、影響范圍

VMware Aria Automation 8.14.x

VMware Aria Automation 8.13.x

VMware Aria Automation 8.12.x

VMware Aria Automation 8.11.x

VMware Cloud Foundation (Aria Automation) 5.x、4.x

 


三、安全措施

3.1 升級版本

目前這些漏洞已經修復,受影響用戶可升級到VMware Aria Automation 8.16版本(建議)?;蛘咭部梢詾橐韵翧ria Automation 版本應用補?。?/span>

Aria Automation 版本

補丁

8.11.2

vrlcm-vra-8.11.2-8.11.2.30127.patch

8.12.2

vrlcm-vra-8.12.2-8.12.2.31368.patch

8.13.1

vrlcm-vra-8.13.1-8.13.1.32385.patch

8.14.1

vrlcm-vra-8.14.1-8.14.1.33501.patch

注意,補丁僅適用于上述列表中的相應版本,如果其早期版本需要應用補丁,則需要先將其升級到上表列出的版本之一后在該版本上安裝補丁。

補丁鏈接:

https://kb.vmware.com/s/article/96098

VMware Cloud Foundation (Aria Automation) 5.x和4.x可應用補丁KB96136:

https://kb.vmware.com/s/article/96136

3.2 臨時措施

暫無。

3.3 通用建議

l  定期更新系統補丁,減少系統漏洞,提升服務器的安全性。

l  加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。

l  使用企業級安全產品,提升企業的網絡安全性能。

l  加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。

l  啟用強密碼策略并設置為定期修改。

3.4 參考鏈接

https://www.vmware.com/security/advisories/VMSA-2024-0001.html

https://nvd.nist.gov/vuln/detail/CVE-2023-34063

 


四、版本信息

版本

日期

備注

V1.0

2024-01-18

首次發布

 

 

五、附錄

5.1 公司簡介

啟明星辰成立于1996年,是由留美博士嚴望佳女士創建的、擁有完全自主知識產權的信息安全高科技企業。是國內最具實力的信息安全產品、安全服務解決方案的領航企業之一。

公司總部位于北京市中關村軟件園啟明星辰大廈,公司員工6000余人,研發團隊1200余人, 技術服務團隊1300余人。在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司于2010年6月23日在深圳中小板掛牌上市。(股票代碼:002439)

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

5.2 關于我們

啟明星辰安全應急響應中心已發布1000多個漏洞通告和風險預警,我們將持續跟蹤全球最新的網絡安全事件和漏洞,為企業的信息安全保駕護航。

關注我們:

image.png

上一篇 下一篇