当前位置: 首页 > article >正文

[全网首篇]关于 VMSA-2024-0019 安全公告(CVE-2024-38812、CVE-2024-38813)的说明与解决方案

漏洞说明:

CVE-2024-38812

CVE 描述:

vCenter Server 在实现 DCERPC 协议时存在堆溢出漏洞。VMware 已将此问题的严重性评估

为临界严重性范围,CVSSv3 的最高基本分数为 9.8。

已知攻击:

具有 vCenter Server 网络访问权限的恶意行为者可能会通过发送特制的网络数据包触发此

漏洞,从而可能导致远程代码执行。

影响范围:

VMware vCenter 7.0 U3s(24201990)以下版本;

VMware vCenter 8.0 U3b(24262322)以下版本;

VMware Cloud Foundation 4.x 及 5.x;

CVE Link:

CVE -CVE-2024-38812

CVE-2024-38813

CVE 描述:

vCenter Server 存在特权升级漏洞。VMware 已将此问题的严重性评估为重要严重性范围,

CVSSv3 的最高基本分数为 7.5。

已知攻击:

具有 vCenter Server 网络访问权限的恶意行为者可能通过发送特制的网络数据包触发此漏

洞,将权限升级为 root。

影响范围:

VMware vCenter 7.0 U3s(24201990)以下版本;

VMware vCenter 8.0 U3b(24262322)以下版本;

VMware Cloud Foundation 4.x 及 5.x;

CVE Link:

CVE -CVE-2024-38813

解决方案:

1、查看VCENTER SERVER当前版本

VCENTER Server当前版本:7.0.3.21784236,需要升级至24201990。

2、下载并上传补丁文件至DataStore中

3、为VCENTER拍摄快照

4、VCENTER挂载补丁文件

5、命令行连接VCENTER后台,以root用户登录

输入:software-packages stage --iso

(## 执行后会弹出许可协议,根据屏幕向导,一路回车,直至最后输入yes表示同意许可;)

开始下载rpm安装包

6、输入:software-packages list --staged 

(查看升级包内容,确认版本和发布时间;)

7、输入:software-packages install --staged           #执行升级

此过程大概半个小时,耐心等待

8、升级完成后,VCENTER Server系统会重启,丢失几个包

9、重新进入命令行查看,版本已经升级上来了,等待部分服务完全启动

10、Web界面进入命令行验证是否正常;然后手动重启一次VCENTER,待启动成功后编辑VCENTER SERVER虚拟机并断开挂载ISO文件,删除升级前拍摄的快照。

至此,顺利修复CVE-2024-38812和CVE-2024-38813漏洞

往期文章分享:

ESXI主机证书报错_esxi 主机证书状态-CSDN博客

VMware vSphere5.0关闭虚拟机电源时,报错从ESXI主机接收到错误-CSDN博客

IBM Storwize V7000存储控制器故障节点报错574-CSDN博客


http://www.kler.cn/a/316487.html

相关文章:

  • idea 弹窗 delete remote branch origin/develop-deploy
  • 《Django 5 By Example》阅读笔记:p76-p104
  • 用MVVM设计模式提升WPF开发体验:分层架构与绑定实例解析
  • Linux网络——网络初识
  • 使用API有效率地管理Dynadot域名,编辑账户中whois联系人信息
  • 【设计模式】行为型模式(二):策略模式、命令模式
  • 【系统架构设计师】软件架构的概念(经典习题)
  • Vue3.5+ 更新 - 模板引用
  • 【Go】Go语言中深拷贝和浅拷贝
  • PlantUML的使用以及各种图表示例
  • HOJ网站开启https访问 申请免费SSL证书 部署证书详细操作指南
  • 无法将ggplot图保存为PDF文件怎么办
  • 数组高阶应用(C++版)
  • TypeError: expected string or buffer - Langchain, OpenAI Embeddings
  • 力扣3290.最高乘法得分
  • 【PHP小课堂】PHP中的函数相关处理方法学习
  • 【计算机网络 - 基础问题】每日 3 题(十六)
  • 目标检测:滑块验证
  • 2012年408考研真题-数据结构
  • 领夹麦克风哪个品牌好,无线领夹麦克风品牌排名,麦克风品牌大全
  • Python ORM 框架 SQLModel 快速入门教程
  • 每日一道算法题(二)—快乐数
  • STaR: Bootstrapping Reasoning With Reasoning
  • Android 如何实现搜索功能:本地搜索?数据模型如何设计?数据如何展示和保存?
  • 基于YOLOv8+LSTM的商超扶梯场景下行人安全行为姿态检测识别
  • Python3使用websocket调用http代理IP