VMware 发布补丁以修复影响多个产品的新缺陷

VMware 周三发布了安全更新，以解决多个产品中的漏洞，攻击者可能利用这些漏洞来控制受影响的系统。

六个安全漏洞（从 CVE-2021-22022 到 CVE-2021-22027，CVSS 分数：4.4 - 8.6）影响 VMware vRealize Operations（8.5.0 版之前）、VMware Cloud Foundation（3.x 版和 4.x 版） ) 和 vRealize Suite Lifecycle Manager（版本 8.x），如下所列 -

CVE-2021-22022（CVSS 评分：4.4）- vRealize Operations Manager API 中的任意文件读取漏洞，导致信息泄露

CVE-2021-22023（CVSS 分数：6.6）- vRealize Operations Manager API 中的不安全直接对象引用漏洞，使具有管理访问权限的攻击者能够更改其他用户的信息并控制帐户

CVE-2021-22024（CVSS 评分：7.5）- vRealize Operations Manager API 中的任意日志文件读取漏洞，导致敏感信息泄露

CVE-2021-22025（CVSS 评分：8.6）——vRealize Operations Manager API 中的访问控制漏洞，允许未经身份验证的恶意行为者向现有 vROps 集群添加新节点

CVE-2021-22026 和 CVE-2021-22027（CVSS 评分：7.5）——vRealize Operations Manager API 中的服务器端请求伪造漏洞，导致信息泄露。

报告缺陷的是 Positive Technologies 的 Egor Dimitrenko（CVE-2021-22022 和 CVE-2021-22023）和 MoyunSec V-Lab 的 thiscodecc（从 CVE-2021-22024 到 CVE-2021-22027）。

另外，VMware 还发布了补丁来修复影响 VMware vRealize Log Insight 和 VMware Cloud Foundation 的跨站点脚本 (XSS) 漏洞，该漏洞源于用户输入验证不当的情况，使具有用户权限的攻击者能够通过当受害者访问共享仪表板链接时执行的 Log Insight UI。

该缺陷的标识符为CVE-2021-22021，在 CVSS 评分系统中的严重性评级为 6.5。Prevenity 的 Marcin Kot 和 Vantage Point Security 的 Tran Viet Quang 因独立发现和报告该漏洞而受到赞誉。

VMware 在其 VMware Workspace ONE UEM 控制台 ( CVE-2021-22029，CVSS 评分：5.3) 中修补了一个拒绝服务错误后一周，补丁也发布了，该错误可以访问“/API/system/admins/session " 可能会因速率限制不当而滥用 API 不可用。

Myasiacloud亞洲雲海

網路安全防禦專家

亞太高防資源無上限防禦DDoS/CC攻擊!!

全球優質節點中國大陸全境加速海外加速

詳情訪問https://www.myasiacloud.com/clouddf

商務聯絡TG:@myasiacloud66

此博客中的热门博文

微软：过去12个月已向安全专家支付1360万美元漏洞赏金

微软官方表示，在过去 12 个月里已经累计向安全研究人员提供超过 1360 万美元的赏金。根据目前所有科技厂商公开的赏金金额，微软支付的赏金是最高的。尽管如此，微软的赏金数量已经非常惊人，但是网络安全研究人员表示该公司可能会进一步扩大规模。微软官方表示，在过去 12 个月里已经累计向安全研究人员提供超过 1360 万美元的赏金。根据目前所有科技厂商公开的赏金金额，微软支付的赏金是最高的。尽管如此，微软的赏金数量已经非常惊人，但是安全研究人员表示该公司可能会进一步扩大规模。微软官方表示赏金是 2020 年 7 月 1 日至 2021 年 6 月 30 日期间发布的，通过 17 个 BUG 悬赏项目共有 341 名安全专家提交了 1261 个漏洞最高的赏金是 20 万美元，是报告微软操作系统虚拟化技术 Hyper-V 中的一个漏洞在所有项目中，每个悬赏项目平均赏金超过 10000 美元網絡安全專家亞洲雲海 DDoS攻擊/CC攻擊無上限防禦大陸地區/海外地區加速超高性能服務器全球分佈式優質資源部署詳情訪問 www.myasiacloud.com/clouddf 客服聯繫小飛機 @myasiacloud66

阅读全文

VPN 可以保护您免受黑客攻击吗？

虚拟专用网络 (VPN) 是您在线可能遇到的许多问题的完美解决方案 - 访问被阻止的站点、隐藏您的浏览活动、摆脱互联网限制、寻找更好的交易等等。但是 VPN 可以保护您免受黑客攻击吗？您的私人信息和文件在互联网上使用 VPN 是否更安全？它在数据保护方面有多大区别？ VPN 可以防止黑客入侵吗？您绝对应该在公共网络或家庭 Wi-Fi 上使用 VPN，因为它可以显着保护您的隐私。但是 VPN 不能简单地保护您免受每种类型的网络攻击。有些攻击非常复杂，即使是 VPN 也无法阻止。但是让我们来看看 VPN 可以阻止的一些网络攻击。 1 - MITM（中间人）攻击 MITM 攻击是指黑客介入您与您尝试通过 Internet 与之通信的个人或 Web 服务器之间。这就像窃听，因为黑客会中断并窃取现有对话或数据传输中的数据。当黑客知道您在哪个网络上时，他们可以利用其弱加密标准来拦截您的数据传输。最可怕的是，你甚至不会注意到它。使用这种方法，黑客可以轻松窃取敏感信息，例如信用卡详细信息或登录凭据。大多数 wi-fi 网络，特别是公共 wi-fi 网络，使用 WPA2 安全标准，这是一种非常弱的加密标准，容易受到 MITM 攻击。即使是 WPA3 标准也不是完全万无一失的。那么，在这种情况下，VPN 有什么帮助呢？ VPN 会加密您的所有在线活动。VPN 加密非常强大，几乎不可能破解。使用 VPN 时，您的 IP 将在不同位置反弹。黑客甚至不会知道您连接到网络的真实 IP 地址。他们将不知道您正在浏览哪些网站，因此他们无法拦截您或将您重定向到虚假网站。 2 -远程黑客黑客使用的最古老和最有效的技巧之一是通过您的 IP 地址访问您的系统。几乎您访问的每个网站都会跟踪您的 IP 地址。如果这些网站之一被攻击者入侵，他们将可以访问您的 IP 地址。那么这只是使用该 IP 地址作为系统后门的一种情况。我们谈论的是您的智能手机、个人电脑、电视、闭路电视以及连接到您的 Wi-Fi 的所有设备。 VPN 会掩盖您的真实 IP 地址，防止黑客访问它。因此，如果您在浏览互联网时连接到 VPN，您访问的每个站点实际上都不会跟踪您的真实 IP，因此黑客无法知道它。 3 — DDoS/DoS 攻击 DDoS（分布式拒绝服务）攻击是指黑客用不需要的请求和流量淹没您的网络。目的是迫使您离线一

阅读全文

马斯克、中国相继出手，比特币价格一周下滑30%！

继chia币爆火后，市场上不断涌现关于 chia币的挖矿方案。而特斯拉执行长马斯克（Elon Musk）于13日宣布，暂停消费者以比特币（Bitcoin）买车，且决定不再出售比特币之后，中国三大金融机构在本周二（5/ 18）也发布公告，禁止当地金融与支付机构参与加密货币交易，使得比特币的价格从12日的5.5万美元一路下滑至3.7万美元，下滑幅度超过30%。中国互联网金融协会、中国银行业协会，以及中国支付清算协会，于18日发布了公告，指出最近加密货币的交易炒作活动有所反弹，严重侵害民众的财产安全，扰乱经济金融正常秩序，因而要求金融机构与支付机构不得进行与加密货币相关的业务，不管是加密货币的交易或清算，或者是以加密货币作为支付结算工具，都在禁止之列。这些金融机构强调，加密货币属于虚拟商品，并非由货币当局所发行，不具有法偿性与强制性等货币属性，因此并非真正的货币，不能也不应作为货币在市场上流通或使用。其实中国从2017年便开始扫荡境内的加密货币行为，先禁止首次代币发行（Initial Coin Offering，ICO）活动，再关闭与加密货币相关的自媒体，现在则进一步阻止境内的金融及支付机构参与加密货币交易。 Myasiacloud亚洲云海 www.myasiacloud.com 海外加速香港专线网络防护云上挖矿尽在亚洲云海！详情咨询电报官方客服 @myasiacloud66

阅读全文

Myasiacloud亚洲云海

搜索此博客