【漏洞预警】VMware VCenter Server 缓冲区溢出

安小圈

第434期

漏洞预警 VMware

漏洞描述:

VMware vCenter Server DCE/RPC协议实现中存在堆溢出漏洞,对vCenter Server具有网络访问权限的恶意行为者可能会通过发送特制的网络数据包来触发这些漏洞,成功的利用此漏洞可导致远程代码执行。

修复建议:

正式防护方案:
官方已发布更新版本修复此漏洞,建议受影响用户升级至安全版本:
VMware vCenter Server 8.0 U2d
VMware vCenter Server 8.0 U1e
VMware vCenter Server 7.0 U3r
VMware Cloud Foundation 5.x/4.x KB88287

安全版本下载和安装方式:

1、VMware vCenter Server 8.0 U2d：

https://support.broadcom.com/web/ecx/solutiondetails ?patchId=5418

https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-vcenter-server-80u2d-release-notes/index.html

2、VMware vCenter Server 8.0 U1e：

https://support.broadcom.com/web/ecx/solutiondetails ?patchId=5419
https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-vcenter-server-80u1e-release-notes/index.html

3、VMware vCenter Server 7.0 U3r：

https://support.broadcom.com/web/ecx/solutiondetails ?patchId=5417
https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u3r-release-notes/index.html

4、Cloud Foundation 5.x/4.x：

https://knowledge.broadcom.com/external/article?legacyId=88287

参考链接:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453

感谢您抽出 .. 来阅读本文

【原文来源：飓风网络安全】

本文内容所包含内容仅限于学习和研究目的。这些内容源自公开的渠道搜集而来，目的是为帮助安全研究人员用于更好地理解和分析潜在的安全问题。

郑重提示：未经授权地利用可能涉及非法活动并导致法律责任和道德问题。请遵循适用的法律法规和道德准则。任何未经授权使用这些内容而导致的后果将由使用者自行承担。本文作者及安小圈不承担因使用本文内容而导致的任何法律问题、损害或责任。请详细阅读并理解这份免责声明。您将被视为已接受并同意遵守本免责声明所有条款和条件。

一周回顾

	【HVV】在即，盘点 \| 极具威胁的勒索软件组织 TOP 8
	迎战护网HVV：6大常见的网站安全威胁及防范‍
	【渗透】渗透测试中：Zui容易被利用的10大安全弱点
	【漏洞预警】 Microsoft Windows WiFi Driver 输入验证错误漏洞 (CVE-2024-30078)
	【新】华硕曝高危漏洞 7 款路由器
	【漏洞预警】 Fortinet FortiSIEM命令注入漏洞（CVE-2024-23109）
	【技术分享】OneNote 作为恶意软件分发新渠道持续增长
	【海外】美国多个城市遭勒索软件攻击，部分市政府功能被迫关闭
	【海外】德 · 施耐德电气遭黑！Hunt3r Kill3rs黑客声称已成功渗透其网络
	要注意节假日沦为勒索事件爆发周期
	【勒索软件】新进阶 \| 一枚要求支付现金的勒索软件Cash Ransomware
	【正式公布】网络暴力信息治理规定
	【网络安全】晒自拍被间谍策反！国安部披露细节
	【案件】上海 \| 网信部门办理首起人脸识别滥用案件
	【精彩连载！】关键信息基础设施安全保护 \| 支撑能力白皮（二）
	【数据安全】《数据安全治理白皮书6.0》\| 政策篇：个人信息保护合规审计
	【发布】《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿)通知
	*！安徽单位遭入侵3.54亿条个人信息被盗，公检联合督促整改**
	【云安全】警惕！\| 云存储泄密风险
	入刑！\|“黑客”攻入国内某知名电器集团售后系统涉案1.2亿判刑14人
	攻防演练在即， 10个物理安全问题不容忽视
	【精彩连载！】关键信息基础设施安全保护 \| 支撑能力白皮书(一)
	Gartner：企业在部署生成式人工智能时面临新的安全威胁
	2024 年勒索软件趋势报告：勒索软件仍是企业的主要威胁
	【海外】惊！用AI制造勒索软件：一无 it 技能男子被警方逮捕
	震惊【钓鱼邮件】 60秒即可诱骗员工 \| 2024年DBIR报告
	勒索软件攻击，著名拍卖行佳士得确认数据泄露
	国家安全机关又破获一起英国MI6重大间谍案
	【发布】国家标准 \|《网络安全技术关键信息基础设施边界确定方法》征求意见稿
	【关基】ICT供应链 \| 安全风险评估指标体系研究
	【零信任】安全剖析及实践应用思考
	【零信任】美军 \| “零信任”安全发展现状研究
	【海外】黑客攻击 \| 扫雷含雷？欧美多个金融机构遭攻击！
	第一部分 \| 云计算基础(1)_起源与发展‍
	第一部分 \| 云计算基础(2)_起源与发展
	第二部分 \| 云计算架构(1)_流派及架构‍
【网信】	(上)重大网络安全事件，须1小时内上报！
【网信】	(下)附件：特别重大、重大、较大事件，怎么分？

一周回顾

	【HVV】在即，盘点 \| 极具威胁的勒索软件组织 TOP 8
	迎战护网HVV：6大常见的网站安全威胁及防范‍
	【渗透】渗透测试中：Zui容易被利用的10大安全弱点
	【漏洞预警】 Microsoft Windows WiFi Driver 输入验证错误漏洞 (CVE-2024-30078)
	【新】华硕曝高危漏洞 7 款路由器
	【漏洞预警】 Fortinet FortiSIEM命令注入漏洞（CVE-2024-23109）
	【技术分享】OneNote 作为恶意软件分发新渠道持续增长
	【海外】美国多个城市遭勒索软件攻击，部分市政府功能被迫关闭
	【海外】德 · 施耐德电气遭黑！Hunt3r Kill3rs黑客声称已成功渗透其网络
	要注意节假日沦为勒索事件爆发周期
	【勒索软件】新进阶 \| 一枚要求支付现金的勒索软件Cash Ransomware
	【正式公布】网络暴力信息治理规定
	【网络安全】晒自拍被间谍策反！国安部披露细节
	【案件】上海 \| 网信部门办理首起人脸识别滥用案件
	【精彩连载！】关键信息基础设施安全保护 \| 支撑能力白皮（二）
	【数据安全】《数据安全治理白皮书6.0》\| 政策篇：个人信息保护合规审计
	【发布】《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿)通知
	*！安徽单位遭入侵3.54亿条个人信息被盗，公检联合督促整改**
	【云安全】警惕！\| 云存储泄密风险
	入刑！\|“黑客”攻入国内某知名电器集团售后系统涉案1.2亿判刑14人
	攻防演练在即， 10个物理安全问题不容忽视
	【精彩连载！】关键信息基础设施安全保护 \| 支撑能力白皮书(一)
	Gartner：企业在部署生成式人工智能时面临新的安全威胁
	2024 年勒索软件趋势报告：勒索软件仍是企业的主要威胁
	【海外】惊！用AI制造勒索软件：一无 it 技能男子被警方逮捕
	震惊【钓鱼邮件】 60秒即可诱骗员工 \| 2024年DBIR报告
	勒索软件攻击，著名拍卖行佳士得确认数据泄露
	国家安全机关又破获一起英国MI6重大间谍案
	【发布】国家标准 \|《网络安全技术关键信息基础设施边界确定方法》征求意见稿
	【关基】ICT供应链 \| 安全风险评估指标体系研究
	【零信任】安全剖析及实践应用思考
	【零信任】美军 \| “零信任”安全发展现状研究
	【海外】黑客攻击 \| 扫雷含雷？欧美多个金融机构遭攻击！
	第一部分 \| 云计算基础(1)_起源与发展‍
	第一部分 \| 云计算基础(2)_起源与发展
	第二部分 \| 云计算架构(1)_流派及架构‍
【网信】	(上)重大网络安全事件，须1小时内上报！
【网信】	(下)附件：特别重大、重大、较大事件，怎么分？

为您推荐

漏洞预警 | 百易云资产管理运营系统SQL注入漏洞

漏洞预警 | 用友移动系统管理SQL注入漏洞

【漏洞预警】VMware vCenter Server 堆溢出漏洞(CVE-2024-38812)

【漏洞预警】用友U8cloud SQL注入漏洞

【漏洞预警】Fortinet FortiManager身份验证缺陷漏洞CVE-2024-47575

漏洞预警 | 百易云资产管理运营系统SQL注入漏洞