VMware从vSphere Data Protection中删除硬编码的根访问密钥,远程控制软件
VMware从vSphere Data Protection中删除硬编码的根访问密钥,远程控制软件http://images.techhive.com/images/article/2015/08/vmware-hq-photo-100611136-large.jpg
该公司还修复了存储在ESXi中的跨站点脚本缺陷
VMware发布了一个修补程序,用于vSphere Data Protection(VDP)更改硬编码的SSH密钥,以允许远程攻击者获得对虚拟设备的root访问权限。
VDP是作为开放式虚拟设备(OVA)运行的基于磁盘的备份和恢复产品。它与VMware vCenter Server集成,可为多达100个虚拟机提供集中管理备份作业。
根据VMware支持文章,vSphere Data Protection(VDP)设备包含具有已知密码的静态SSH私钥。此密钥允许与EMC Avamar(重复数据删除备份和恢复软件解决方案)的互操作性,并且在VDP上作为AuthorizedKey进行预配置。
“有权访问内部网络的攻击者可能会滥用此权限,以root权限访问设备,并进一步执行完全泄漏,”VMware说。
该公司评价此漏洞是至关重要的,并开发了一个修复程序,可以在设备上复制和执行以更改默认SSH密钥和设置新密码。
使用硬编码访问凭据开发用户无法更改的设备是一个严重的安全漏洞。不幸的是,这是过去常见的做法,供应商一直在努力从他们的设备清除这些错误在过去几年。
周二,VMware还修复了其vSphere虚拟机管理程序(ESXi)产品中存储的跨站点脚本漏洞。缺陷被认为是重要的。
“该问题可以由有权限通过ESXi主机客户端管理虚拟机的攻击者介绍,或通过欺骗vSphere管理员导入特制虚拟机,”该公司在一个咨询中说。 “可能在从使用ESXi主机客户端管理特制虚拟机的系统上触发此问题。
VMware发布了ESXi 5.5和6.0的安全修复程序以修复此缺陷,并建议用户不要从不受信任的来源导入VM。
页:
[1]