VMware从vSphere Data Protection中删除硬编码的根访问密钥
2021-08-01 14:44:10 [来源]:
VMware已发布用于vSphere Data Protection(VDP)的修补程序,以更改硬编码的SSH键,该密钥可能允许远程攻击者获得对虚拟设备的root访问权限。
VDP是一种基于磁盘的备份和恢复产品,其运行为打开虚拟设备(OVA)。它与VMware vCenter Server集成并提供了最多100个虚拟机的备份作业的集中管理。
根据VMware支持文章,vSphere Data Protection(VDP)设备包含具有已知密码的静态SSH私钥。此键允许与EMC Avamar,重复数据删除备份和恢复软件解决方案的互操作性,并在VDP上作为授权时预先突出。
“具有访问内部网络的攻击者可能会滥用此方法以访问具有root权限的设备,并进一步执行完全妥协,”VMware表示。
该公司将此漏洞提出至关重要,并开发了可以在设备上复制和执行的修补程序,以更改默认的SSH键并设置新密码。
开发具有硬编码访问凭据的设备,用户可以“T更改是一个严重的安全弱点。不幸的是,这是过去的常见做法,而且供应商一直在努力在过去几年中清理他们的设备上的错误。
在周二,VMware还修复了其vSphere管理程序(ESXi)产品中存储的跨站点脚本漏洞。缺陷被评为重要。
“可以通过攻击者引入问题,该攻击者通过ESXi主机客户或通过欺骗vSphere管理员进口特制VM的攻击者来引入,以便在咨询中表示。“可以在系统上触发该问题,从ESXi主机客户端用于管理特制VM的位置。”
VMware发布了ESXi 5.5和6.0的安全修复,以修复此缺陷,并建议用户不会从不受信任的源导入VM。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。