一、背景介绍
5月7日,市委网信办技术支撑单位监测到VMware 官方发布了vRealize Business for Cloud 的安全更新公告。修复了一个远程代码执行漏洞(CVE-2021-21984)。
1.1漏洞描述
VMware vRealize Business for Cloud是一种自动化的云业务管理解决方案,旨在为IT团队提供云规划、预算和成本分析工具。
攻击者构造恶意请求访问管理界面(VAMI)升级API,造成远程代码执行并控制目标机器。
1.2漏洞编号
CVE-2021-21984
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
vRealize Business for Cloud: <7.6.0
2.2 修复建议
1、若业务环境允许,使用白名单限制相关web 端口的访问来降低风险。
2、VMware 官方已发布安全补丁,请受影响用户及时关注并更新,链接如下:
https://my.vmware.com/group/vmware/downloads/details?downloadGroup=VRBC-760&productId=874&rPId=31985