freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

VMware修复VMware Tools和Workspace ONE SDK中的漏洞
2020-01-16 11:21:28

VMware在1月14日发布了VMwareTools 11.0.0版本,修复Tools 10.x.y版本中的一个本地提权漏洞。漏洞编号为CVE-2020-3941,是一个竞争条件漏洞,攻击者可通过访问访客虚拟机利用该漏洞提升权限。

VMware在安全公告中表示,访客虚拟机上的恶意操作者可能利用该竞争条件漏洞,提升在Windows虚拟机上的权限。该问题影响了用于Windows系统的VMwareTools 10.x.y版本,VMware Tools 11版本并不包含受影响的功能,因而不受影响。

该漏洞的严重等级为高危,CVSS评分为7.8。VMware同时给出了一个变通方法,以防用户无法升级版本。

1. 进入运行VWware Tools 10.x.y版本的Windows访客虚拟机

2. 找到C:\ProgramData\VMware\VMwareCAF目录

3. 从目录中移除标准用户的所有写入访问权限

4. 找到访问控制列表(ACLs),修改控制列表

VMware近期还披露了一个信息泄露漏洞,编号为CVE-2020-3940。该漏洞影响了Workspace ONE SDK和相关的iOS及Android移动应用程序。该漏洞源于当UEM控制台中开启SSL Pinning时应用程序未能妥当地处理证书验证失败。

VMware在公告中表示,如果启用了SSL Pinning,攻击者可通过在受影响的移动应用程序和Workspace ONE UEM设备服务之间实施中间人攻击利用该漏洞捕获传输中的敏感数据。

该漏洞的严重等级为中危,CVSS评分为6.8。

受影响的产品包括:

²  Workspace ONE SDK

²  Workspace ONE Boxer

²  Workspace ONE Content

²  Workspace ONE SDK Plugin for Apache Cordova

²  Workspace ONE Intelligent Hub

²  Workspace ONE Notebook

²  Workspace ONE People

²  Workspace ONE PIV-D

²  Workspace ONE Web

             ² Workspace ONE SDK Pluginfor Xamarin



本文主要源自Security Affairs,作者Pierluigi Paganini,译文略有删改,转载请注明出处。

# vmware
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者