威睿发布紧急更新修复ESXi/Workstation/Fusion产品线的安全漏洞
威睿(VMware)日前针对VMware Workstation、Fusion以及ESXi发布紧急更新用来修复某个已知的安全漏洞,这枚安全漏洞编号为CVE-2021-22045,CVSS综合评分为7.7分/10分,如果攻击者成功利用此漏洞则可以执行任意代码。
该漏洞由Clarified Security公司的安全研究人员Jaanus Kääp发现并报告给威睿进行修复的。
威睿在安全公告中表示,可以访问具有CD-ROM设备模拟虚拟机的恶意行为者可能可以结合其他漏洞从虚拟机里执行任意代码。该漏洞影响ESXi 6.5/6.7/7.0版、VMware Workstation 16.x版、Fusion 12.x版。
目前威睿尚未针对ESXi发布安全更新,因此威睿建议使用ESXi的企业和团队暂时禁用所有正在运行的虚拟机的CD-ROM/DVD设备以防止潜在漏洞遭到利用。
具体操作方法如下:
使用vSphere Web Client登录到vCenter Server系统,右键点击虚拟机然后点击编辑,选择CD-ROM/DVD驱动器并取消选中已连接和开机时连接,最后删除所有已经通过CD-ROM/DVD连接的ISO镜像。
而VMware workstation和Fusion已经有补丁可以使用,使用这些产品的用户可以直接在关于页面检查更新,亦或者从威睿官网下载最新版覆盖安装升级也可以解决相关漏洞。
CVE-2021-22045对应的安全公告:https://www.vmware.com/security/advisories/VMSA-2022-0001.html
企业可以点击这里查看威睿安全建议:https://kb.vmware.com/s/article/87249