尊龙凯时

首页 > 清静研究 > 清静转达 > 清静通告

VMware vSphere Server远程代码执行误差（CVE-2021-21972）

宣布时间 2021-02-24

0x00 误差概述

CVE ID	CVE-2021-21972	时间	2021-02-24
类型	RCE	等级	严重
远程使用	是	影响规模

0x01 误差详情

VMware vCenter Server是高级服务器治理软件，其提供了一个集中式平台来控制的VMware vSphere 情形，使用户能够在整个混淆云中自动安排并交付虚拟基础架构。

2021年02月23日，Vmware宣布了vCenter Server清静更新，修复了vSphere Client (HTML5) 在vCenter Server插件vRealize Operations（vROps）中的一个远程代码执行误差（CVE-2021-21972），其CVSS评分为9.8。能够会见网络端口443的攻击者可以通过使用此误差在托管vCenter Server的操作系统上以不受限制的权限执行下令。别的，由于受影响的插件保存于所有默认装置中，鉴于此误差的严重性，VMware强烈建议用户尽快升级。

别的，VMware还修复了VMware ESXi中一个主要的堆溢出误差（CVE-2021-21974），其CVSS评分8.8。乐成使用此误差的攻击者能够在受影响的装备上远程执行恣意代码。

2020年4月，VMware解决了另一个严重的vCenter Server误差，该误差可能使攻击者能够会见敏感信息，并可能控制受影响的系统。

影响规模

vCenter Server 6.5

vCenter Server 6.7

vCenter Server 7.0

0x02 处置惩罚建议

现在该误差已经修复，建议参考下表实时升级。

影响版本	修复版本	参考链接（暂时修复）
vCenter Server 6.5	6.5 U3n	https://kb.vmware.com/s/article/82374
vCenter Server 6.7	6.7 U3l
vCenter Server 7.0	7.0 U1c

下载链接：

vCenter Server 6.5 U3n

https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u3n-release-notes.html

vCenter Server 6.7 U3l

https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3l-release-notes.html

vCenter Server 7.0 U1c

https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u1c-release-notes.html

0x03 参考链接

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

https://www.bleepingcomputer.com/news/security/vmware-fixes-critical-rce-bug-in-all-default-vcenter-installs/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21972

0x04 时间线

2021-02-23 Vmware宣布清静更新

2021-02-24 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号