VMware 最新的安全漏洞公告VMSA-2024-0013

#深度好文计划#

一、摘要

2024年6月26日,VMware 发布了最新的安全漏洞公告 VMSA-2024-0013,修复了 VMware ESXi 和 VMware vCenter 中的多个安全漏洞。

VMSA-2024-0013:VMware ESXi 和 vCenter Server 更新修正了多个安全性漏洞 (CVE-2024-37085、CVE-2024-37086、CVE-2024-37087)

1. 受影响的产品

  • VMware ESXi的

  • VMware vCenter 服务器

  • VMware Cloud 基础

2. 引言

ESXi 和 vCenter Server 中的多个漏洞已负责任地报告给 VMware。更新可用于修复受影响的 VMware 产品中的这些漏洞。

公告链接:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505

二、漏洞说明:

   VMware ESXi Active Directory 集成身份验证绕过 (CVE-2024-37085)

VMware ESXi 包含身份验证绕过漏洞,具有足够 Active Directory (AD) 权限的

恶意参与者可以通过在从 AD 中删除配置的 AD 组(默认为“ESXi 管理员”)后重新

创建配置的 ESXi 主机获得对先前配置为使用 AD 进行用户管理的ESXi 主机的完全访

问权限。

产品版本补丁版本
ESXi8.0Esxi8.0U3-24022510
ESXi7.0No Patch Planned
VMware Cloud Foundation5.xPatch Pending
VMware Cloud Foundation4.xNo Patch Planned

可以参考解决方案

KB369707 (https://knowledge.broadcom.com/external/article/369707/)进行高级参数修改

2、VMware ESXi 越界读取漏洞 (CVE-2024-37086)

   VMware ESXi 包含越界读取漏洞,在具有现有快照的虚拟机上具有本地管理权限的恶意行为者可能会触发越界读取,从而导致主机出现拒绝服务情况。

产品版本补丁版本
ESXi8.0Esxi8.0U3-24022510
ESXi7.0ESXi70U3sq-23794019
VMware Cloud Foundation5.xPatch Pending
VMware Cloud Foundation4.xESXi 7.0 U3q

VMware Cloud Foundation 4.x 可参考KB88287

(https://knowledge.broadcom.com/external/article?legacyId=88287)

3、VMware vCenter 拒绝服务漏洞 (CVE-2024-37087)

vCenter Server 包含拒绝服务漏洞,对 vCenter Server 具有网络访问权限的恶意行为者可能会造成拒绝服务情况。

产品

版本

补丁版本

vCenter Server

8.0

8.0U3

vCenter Server

7.0

7.0U3q

VMware Cloud Foundation

5.x

Patch Pending

VMware Cloud Foundation

4.x

7.0 U3q

vCenter Server 7.0 版本 (7.0 U3q) 是第一个解决此问题的版本,但不是最新版本。建议使用最新版本(即 vCenter Server 7.0 U3r)来解决 VMSA-2024-0012 中记录的严重性漏洞。

VMware Cloud Foundation 4.x 可参考KB88287

(https://knowledge.broadcom.com/external/article?legacyId=88287)

4. 参考资料:

修正版本及发行说明:

VMware ESXi 8.0 U3
下载和文档:
https://support.broadcom.com/group/ecx/productfiles?displayGroup=VMware%20vSphere%20-%20Standard&release=8.0&os=&servicePk=202631&language=EN&groupId=204419
https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-esxi-803-release-notes/index.html

VMware ESXi 7.0 ESXi70U3sq-23794019
下载和文档
https://support.broadcom.com/web/ecx/solutiondetails?patchId=5330
https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-esxi-70u3q-release-notes/index.html

VMware vCenter Server 8.0 U3
下载和文档:
https://support.broadcom.com/group/ecx/productfiles?subFamily=VMware%20vCenter%20Server&displayGroup=VMware%20vCenter%20Server%208.x&release=8.0U3&os=&servicePk=520490&language=EN
https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-vcenter-server-803-release-notes/index.html

VMware vCenter Server 7.0 U3q
下载和文档
https://support.broadcom.com/web/ecx/solutiondetails?patchId=5329
https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u3q-release-notes/index.html

知识库文章:
Cloud Foundation 5.x/4.x:
https://knowledge.broadcom.com/external/article?legacyId=88287

Mitre CVE 字典链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-37085
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-37086
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-37087

第一个 CVSSv3 计算器:
CVE-2024-37085:https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H
CVE-2024-37086:https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H
CVE-2024-37087:https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

5. 更改日志:

2024-06-25 VMSA-2024-0013
初始安全公告。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/36662.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Unity3D 物体的运动

Unity3D 物体的运动

运动方式1 修改 position / localPosition ,可以让物体运动 例如, Vector3 pos this.transform.localPosition; pos.z distance; this.transform.localPosition pos; 此时,小车向Z 方向运动 具体代码如下 using System.Collection…
阅读更多...
C语言入门课程学习笔记10:结构体联合体位域

C语言入门课程学习笔记10:结构体联合体位域

C语言入门课程学习笔记10 第48课 - 自定义数据类型(上)实验-typedef实验小结 第49课 - 自定义数据类型(中)实验实验小结 第50课 - 自定义数据类型(下)实验实验小结 第51课 - 多文件程序设计实验实验实验小结…
阅读更多...
uni-app picker多列选项

uni-app picker多列选项

预期实现的效果&#xff1a; 选中后的效果&#xff1a; // Dom部分 <template><picker mode"multiSelector" :range"ssqRange" range-key"name" columnchange"ssqColumnChange" change"ssqChange" class"p…
阅读更多...
研究发现GPT-4o等较新的多模态AI模型的安全机制有不足之处

研究发现GPT-4o等较新的多模态AI模型的安全机制有不足之处

在 ChatGPT 和类似的生成式人工智能模型推出后&#xff0c;很多人都在强调安全问题&#xff0c;政府也参与其中&#xff0c;OpenAI 甚至成立了一个超级协调小组&#xff0c;以阻止未来的人工智能失控&#xff0c;但由于对人工智能安全的发展方向存在分歧&#xff0c;该小组于今…
阅读更多...
03逻辑门电路

03逻辑门电路

分立门电路&#xff1a; 集成门电路&#xff1a; TTL门电路 MOS门电路&#xff1a;NMOS门电路、PMOS门电路、CMOS门电路 BICMOS门电路&#xff1a;CMOS的高输入阻抗和TTL的高放大倍数的结合 向更低功耗、更高速度发展 MOS管的Rdson在可变电阻区的阻值也一般会小于1000欧姆 …
阅读更多...
达梦数据库的系统视图v$locked_object

达梦数据库的系统视图v$locked_object

达梦数据库的系统视图v$locked_object 在达梦数据库&#xff08;Dameng Database&#xff09;中&#xff0c;V$LOCKED_OBJECT 视图提供了与数据库中被锁定对象相关的信息。这通常用于监控和诊断数据库中的锁定问题&#xff0c;帮助管理员了解哪些对象被锁定了&#xff0c;以及…
阅读更多...
1.回溯算法.基础

1.回溯算法.基础

1.回溯算法 基础知识题目1.组合2.组合-优化3.组合总和|||4.电话号码和字母组合5.组合总和6.组合总和II7.分割回文串8.复原IP地址 基础知识 回溯法也可以叫做回溯搜索法&#xff0c;它是一种搜索的方式。回溯是递归的副产品&#xff0c;只要有递归就会有回溯 因为回溯的本质是穷…
阅读更多...
Excel 宏录制与VBA编程 —— 11、工作表及工作簿操作(附:Worksheets与Sheets区别)

Excel 宏录制与VBA编程 —— 11、工作表及工作簿操作(附:Worksheets与Sheets区别)

代码1 - Worksheets与Sheets区别 Worksheets表示普通工作表;Sheets即可表示普通工作表也可表示图标工作表。 下面模块中代码结果是一样的,大家理解时可结合上面区别说明进行了解 Sub Test()Worksheets("Sheet1").Range("A1").Value 100Sheets("Sheet…
阅读更多...
BioCLIP:物种图像的基础视觉模型

BioCLIP:物种图像的基础视觉模型

从无人机到个人手机&#xff0c;各种相机收集的自然世界图像是越来越丰富的生物信息来源。从图像中提取生物相关信息用于科学的计算方法和工具激增&#xff0c;尤其是计算机视觉。然而&#xff0c;其中大多数都是为特定任务设计的&#xff0c;不容易适应或扩展到新的问题、环境…
阅读更多...
【AI大模型】Transformers大模型库(十二):Evaluate模型评估

【AI大模型】Transformers大模型库(十二):Evaluate模型评估

目录 一、引言 二、Evaluate模型评估 2.1 概述 2.2 使用方法 2.2.1 步骤1: 导入必要的库 2.2.2 步骤2: 加载模型和分词器 2.2.3 步骤3: 准备数据集 2.2.4 步骤4: 数据预处理 2.2.5 步骤5: 创建训练和评估数据集 2.2.6 步骤6: 设置训练参数并创建Trainer 2.2.7 步…
阅读更多...
基于Flask开发的前后端交互项目(可用于期末大作业) MySQL数据库 文件上传 Spider爬虫 Echarts可视化展示 JS动态

基于Flask开发的前后端交互项目(可用于期末大作业) MySQL数据库 文件上传 Spider爬虫 Echarts可视化展示 JS动态

项目描述&#xff1a; 开发一个基于Flask框架开发的前后端交互项目&#xff0c;项目内容为 东京奥运会 。对各个需要填写的字段做了数据验证&#xff0c;非法信息会被JS拦截提醒不合法&#xff1b;还对未登录就访问做了拦截&#xff0c;阻止未登录就访问。 前端&#xff1a;HT…
阅读更多...
idea 开发工具properties文件中的中文不显示

idea 开发工具properties文件中的中文不显示

用idea打开一个项目&#xff0c;配置文件propertise中的中文都不展示&#xff0c;如图&#xff1a; 可修改idea配置让中文显示&#xff1a; 勾选箭头指向的框即可&#xff0c;点击应用保存&#xff0c;重新打开配置文件&#xff0c;显示正常
阅读更多...
Java开发环境配置

Java开发环境配置

一、JDK 下载JDK&#xff1a;Java Downloads | Oracle 配置环境变量&#xff1a;09、Java入门&#xff1a;Path、JAVA_HOME环境变量配置_哔哩哔哩_bilibili 二、IDEA 下载IDEA&#xff1a; Download IntelliJ IDEA – The Leading Java and Kotlin IDE (jetbrains.com) 建…
阅读更多...
HotSpot 垃圾收集器

HotSpot 垃圾收集器

文章目录 前言HotSpot 垃圾收集器1. 查看jdk默认垃圾收集器命令2. 查看当前服务使用的是哪个垃圾收集器:3. 常用的垃圾收集器3.1. 并行垃圾收集器&#xff08;Parallel Garbage Collector&#xff09;3.2. CMS 垃圾收集器&#xff08;Concurrent Mark-Sweep Garbage Collector&…
阅读更多...
情感分析方法与实践

情感分析方法与实践

第1关&#xff1a;情感分析的基本方法 情感分析简介 情感分析&#xff0c;又称意见挖掘、倾向性分析等。简单而言&#xff0c;是对带有情感色彩的主观性文本进行分析、处理、归纳和推理的过程。在日常生活中&#xff0c;情感分析的应用非常普遍&#xff0c;下面列举几种常见的…
阅读更多...
Gradle学习-3 Gradle插件

Gradle学习-3 Gradle插件

1、Gredle插件是什么 Gradle插件是用于扩展和增强Gradle构建系统的功能模块通过插件&#xff0c;Gradle可以执行各种构建任务&#xff0c;如编译代码、打包应用、运行测试等 Gradle插件主要分为&#xff1a;二进制插件、脚本插件 二进制插件二进制插件是预编译的、可以复用的…
阅读更多...
web学习笔记(七十二)

web学习笔记(七十二)

目录 1.vue2通过$parent实现组件传值——父传子 2.vue2 通过$children实现组件传值——子传父 3. provide和inject传值&#xff08;依赖注入&#xff09; 4.vue2如何操作dom 5.vue2如何拿到最新的dom 6.filters过滤器 7.vue2的生命周期 8.vuex的用法 1.vue2通过$parent…
阅读更多...
大数据开发需要哪些职场知识

大数据开发需要哪些职场知识

职场是个人情世故的江湖&#xff0c;除了专业技能&#xff0c;成功的大数据开发人员还需要掌握多种职场知识。以下是一些重要的职场知识和技能&#xff0c;结合实际例子详细说明。 目录 理论知识与工程实践理论知识工程实践例子 项目经验总结项目管理总结和反思例子 做事方式方…
阅读更多...
一招教你搞定Windows系统指定IP不变[固定IP地址方法]

一招教你搞定Windows系统指定IP不变[固定IP地址方法]

1.打开控制面板&#xff0c;找到“网络和Internet” 点击进入&#xff1a; 2.点击打开“网络和共享中心”后&#xff0c;选择“更改适配器选项”。 3.点击 “查看此连接的状态”&#xff0c; 接着点击“详细信息” 查看信息。记录当前的IP地址是 10.88.x.xx&#xff0c;后面我们…
阅读更多...
Linux驱动开发笔记(九)IIC子系统及其驱动

Linux驱动开发笔记(九)IIC子系统及其驱动

文章目录 前言一、IIC驱动框架二、总线驱动2.1 iic总线的运行机制2.2 重要数据结构2.2.1 i2c_driver结构体2.2.2 i2c总线结构体 2.3 匹配规则 三、设备树的修改四、设备驱动的编写4.1 相关API函数4.1.1 i2c_add_adapter( )4.1.2 i2c_register_driver( )4.1.3 i2c_transfer( )4.…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023