CVE-2024-37079|Уязвимость VMware vCenter Server, связанная с переполнением кучи
CVE-2024-37079|Уязвимость VMware vCenter Server, связанная с переполнением кучи

0x00 Предисловие

VMware vCenter Server — это набор программного обеспечения для управления серверами и виртуализацией от американской компании VMware. Оно широко используется в корпоративных частных облачных сетях. С помощью vCenter администраторы могут легко управлять сотнями сред виртуализации. Это программное обеспечение предоставляет централизованную платформу для управления средами VMware vSphere и может автоматически внедрять и предоставлять виртуальную инфраструктуру.

С помощью VMware vCenter Server™ можно централизованно управлять несколькими хостами VMware® ESXi™ и их виртуальными машинами. Неправильная установка, настройка и управление vCenter Server могут привести к снижению эффективности управления или простою хостов и виртуальных машин VMware ESXi.

Сервер VMware vCenter — это наиболее важная часть платформы vSphere и центр всей платформы vSphere. Он может управлять всеми хостами и виртуальными машинами vSphere ESXi из единой точки управления и предоставлять подробную информацию о виртуальной архитектуре для крупномасштабного развертывания. Управление масштабом.

0x01 Описание уязвимости

Поскольку vCenter Server имеет несколько уязвимостей переполнения кучи при реализации протокола DCE/RPC (Распределенная вычислительная среда/Удаленный вызов процедур), удаленные злоумышленники с доступом к сети vCenter Server могут отправлять специально созданные сетевые пакеты для запуска этих уязвимостей. для удаленного выполнения кода.

CVE-2023-34048излазейки成因和它是一样из表述。

0x02 номер CVE

CVE-2024-37079/CVE-2024-37080: из-за уязвимости переполнения кучи, когда vCenter Server выполняет протокол DCERPC, удаленный злоумышленник с доступом к сети vCenter Server может отправлять специально созданные сетевые пакеты для выполнения произвольного кода.

CVE-2024-37081: из-за неправильной конфигурации sudo сервер vCenter имеет уязвимость локального повышения привилегий. Злоумышленник с низкими привилегиями может использовать эту уязвимость для повышения учетной записи до привилегий root.

0x03 затронутая версия

Затронутые продукты и версии

CVE

сфера влияния

vCenter Server 8.0

CVE-2024-37079, CVE-2024-37080, CVE-2024-37081

<8.0 U2d

vCenter Server 8.0

CVE-2024-37079, CVE-2024-37080

<8.0 U1e

vCenter Server 7.0

CVE-2024-37079, CVE-2024-37080, CVE-2024-37081

<7.0 U3r

Cloud Foundation (vCenter Server) 5.x、4.x

CVE-2024-37079, CVE-2024-37080, CVE-2024-37081

\

0x04 Подробности об уязвимости

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453

ссылка на ссылку 0x05

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453

https://core.vmware.com/resource/vmsa-2024-0012-questions-answers

Статьи и инструменты в этом аккаунте предназначены только для ознакомления. Любые прямые или косвенные последствия и ущерб, вызванные распространением и использованием информации, представленной в этом документе, несут ответственность за пользование этой официальной учетной записью и автор статьи. не несут за это никакой ответственности.

boy illustration
Учебное пособие по Jetpack Compose для начинающих, базовые элементы управления и макет
boy illustration
Код js веб-страницы, фон частицы, код спецэффектов
boy illustration
【новый! Суперподробное】Полное руководство по свойствам компонентов Figma.
boy illustration
🎉Обязательно к прочтению новичкам: полное руководство по написанию мини-программ WeChat с использованием программного обеспечения Cursor.
boy illustration
[Забавный проект Docker] VoceChat — еще одно приложение для мгновенного чата (IM)! Может быть встроен в любую веб-страницу!
boy illustration
Как реализовать переход по странице в HTML (html переходит на указанную страницу)
boy illustration
Как решить проблему зависания и низкой скорости при установке зависимостей с помощью npm. Существуют ли доступные источники npm, которые могут решить эту проблему?
boy illustration
Серия From Zero to Fun: Uni-App WeChat Payment Practice WeChat авторизует вход в систему и украшает страницу заказа, создает интерфейс заказа и инициирует запрос заказа
boy illustration
Серия uni-app: uni.navigateЧтобы передать скачок значения
boy illustration
Апплет WeChat настраивает верхнюю панель навигации и адаптируется к различным моделям.
boy illustration
JS-время конвертации
boy illustration
Обеспечьте бесперебойную работу ChromeDriver 125: советы по решению проблемы chromedriver.exe не найдены
boy illustration
Поле комментария, щелчок мышью, специальные эффекты, js-код
boy illustration
Объект массива перемещения объекта JS
boy illustration
Как открыть разрешение на позиционирование апплета WeChat_Как использовать WeChat для определения местонахождения друзей
boy illustration
Я даю вам два набора из 18 простых в использовании фонов холста Power BI, так что вам больше не придется возиться с цветами!
boy illustration
Получить текущее время в js_Как динамически отображать дату и время в js
boy illustration
Вам необходимо изучить сочетания клавиш vsCode для форматирования и организации кода, чтобы вам больше не приходилось настраивать формат вручную.
boy illustration
У ChatGPT большое обновление. Всего за 45 минут пресс-конференция показывает, что OpenAI сделал еще один шаг вперед.
boy illustration
Copilot облачной разработки — упрощение разработки
boy illustration
Микросборка xChatGPT с низким кодом, создание апплета чат-бота с искусственным интеллектом за пять шагов
boy illustration
CUDA Out of Memory: идеальное решение проблемы нехватки памяти CUDA
boy illustration
Анализ кластеризации отдельных ячеек, который должен освоить каждый&MarkerгенетическийВизуализация
boy illustration
vLLM: мощный инструмент для ускорения вывода ИИ
boy illustration
CodeGeeX: мощный инструмент генерации кода искусственного интеллекта, который можно использовать бесплатно в дополнение к второму пилоту.
boy illustration
Машинное обучение Реальный бой LightGBM + настройка параметров случайного поиска: точность 96,67%
boy illustration
Бесшовная интеграция, мгновенный интеллект [1]: платформа больших моделей Dify-LLM, интеграция без кодирования и встраивание в сторонние системы, более 42 тысяч звезд, чтобы стать свидетелями эксклюзивных интеллектуальных решений.
boy illustration
LM Studio для создания локальных больших моделей
boy illustration
Как определить количество слоев и нейронов скрытых слоев нейронной сети?
boy illustration
[Отслеживание целей] Подробное объяснение ByteTrack и детали кода