一、背景介绍
近日,市委网信办技术支撑单位监测到VMware官方发布安全公告,修复了多个VMware vRealize Log Insight高危漏洞,其中包括目录穿越漏洞(CVE-2022-31706)、访问控制不当漏洞(CVE-2022-31704)、反序列化漏洞(CVE-2022-31710)和信息泄露漏洞(CVE-2022-31711)。
1.1 漏洞描述
VMware vRealize Log Insight是一个日志分析管理工具。利用基于机器学习的智能分组和高性能搜索功能,可跨物理环境、虚拟环境和云环境管理海量数据、了解运维情况并加快故障排除。
CVE-2022-31704
VMware vRealize Log Insight存在一个访问控制漏洞,未经身份验证的恶意行为者可以将文件注入受影响设备的操作系统,从而导致远程代码执行。
CVE-2022-31706
VMware vRealize Log Insight存在一个目录穿越漏洞,未经身份验证的恶意行为者可以将文件注入受影响设备的操作系统,从而导致远程代码执行。
CVE-2022-31710
VMware vRealize Log Insight存在一个反序列化漏洞,未经身份验证的恶意行为者可以远程触发不可信数据的反序列化,可能导致系统拒绝服务。
CVE-2022-31711
VMware vRealize Log Insight 存在一个信息泄露漏洞,未经身份验证的恶意行为者可以远程收集敏感会话和应用程序信息。
1.2 漏洞编号
CVE-2022-31704
CVE-2022-31706
CVE-2022-31710
CVE-2022-31711
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
VMware vRealize Log Insight 8.x < 8.10.2
VMware Cloud Foundation (VMware vRealize Log Insight) 4.x
VMware Cloud Foundation (VMware vRealize Log Insight) 3.x
2.2 修复建议
目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级 VMware vRea