企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    近日，奇安信CERT监测到VMware发布vCenterServer更新修复了vSphereWebClient中的任意文件读取漏洞(CVE-2021-21980)。vSphereWebClient(FLEX/Flash)存在未经授权的任意文件读取漏洞，对vCenterServer443端口具有网络访问权限的攻击者可能会利用此漏洞来获取敏感信息。由于vCenterServer7.x中不支持vCenterServervSphereWebClient(FLEX/Flash)，此漏洞不影响vCenterServer7.x发行版。鉴于此漏洞影响较大，建议客户尽快自查修复。

    当前漏洞状态

    漏洞描述

    从vCenterServer6.5起，vSphereWebClient（Flash/Flex客户端）成为管理具有所有功能和插件的客户端。vSphereWebClient可处理更多的对象和更多的并发管理访问，与旧版C#客户端不同，它无需为每个新版本的vSphere升级客户端的各个实例。此外，vSphereWebClient插件在服务器端运行，从而简化了插件维护。

    近日，奇安信CERT监测到VMware发布vCenterServer更新修复了vSphereWebClient中的任意文件读取漏洞(CVE-2021-21980)。vSphereWebClient(FLEX/Flash)存在未经授权的任意文件读取漏洞，对vCenterServer443端口具有网络访问权限的攻击者可能会利用此漏洞来获取敏感信息。由于vCenterServer7.x中不支持vCenterServervSphereWebClient(FLEX/Flash)，此漏洞不影响vCenterServer7.x发行版。

    CVE-2021-21980VMwarevCenterServer任意文件读取漏洞

    奇安信CERT风险评级为：高危

    风险等级：蓝色（一般事件）

    影响范围

    由于vCenterServer7.x中不支持vCenterServervSphereWebClient(FLEX/Flash)，此漏洞不影响vCenterServer7.x发行版，CloudFoundation(vCenterServer)4.x也不受此漏洞影响。另外，CloudFoundation(vCenterServer)3.x版本目前官方还未发布更新。

    vCenterServer6.7*<6.7U3p

    vCenterServer6.5*<6.5U3r

    CloudFoundation(vCenterServer)3.x

    处置建议

    请参考以下链接尽快升级至安全版本：

    vCenterServer6.7U3p：

    https://customerconnect.vmware.com/en/downloads/details?downloadGroup=VC67U3P&productId=742&rPId=78421

    https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3p-release-notes.html

    vCenterServer6.5U3r：

    https://customerconnect.vmware.com/downloads/details?downloadGroup=VC65U3R&productId=614&rPId=74057

    https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u3r-release-notes.html

    参考资料

    [1]https://www.vmware.com/security/advisories/VMSA-2021-0027.html

    时间线

    2021年11月26日，奇安信CERT发布安全风险通告

    到奇安信NOX-安全监测平台查询更多漏洞详情

    奇安信CERT长期招募安全研究员