vCenter Server是VMware vSphere虛擬化架構(gòu)的核心管理組件,，為ESXI主機(jī)和虛擬機(jī)提供管理服務(wù)，通過vCenter Server可以集中管理多臺ESXI主機(jī)和虛擬機(jī),。

6月25日,，監(jiān)測到VMware 修復(fù)了vCenter Server中的多個安全漏洞，這些漏洞存在于DCERPC協(xié)議的實(shí)現(xiàn)中,，詳情如下：

CVE-2023-20892：VMware vCenter Server堆溢出漏洞（高危）

vCenter Server中存在堆溢出漏洞,，由于在實(shí)現(xiàn)DCERPC協(xié)議時使用了未初始化的內(nèi)存，對vCenter Server具有網(wǎng)絡(luò)訪問權(quán)的惡意威脅者可利用該漏洞在承載vCenter Server的底層系統(tǒng)上執(zhí)行任意代碼,。

CVE-2023-20893：VMware vCenter Server 釋放后使用漏洞（高危）

vCenter Server在DCERPC協(xié)議的實(shí)現(xiàn)中存在Use-After-Free漏洞,，對vCenter Server具有網(wǎng)絡(luò)訪問權(quán)的惡意威脅者可利用該漏洞在承載vCenter Server的底層系統(tǒng)上執(zhí)行任意代碼。

CVE-2023-20894：VMware vCenter Server 越界寫入漏洞（高危）

vCenter Server 在DCERPC協(xié)議的實(shí)現(xiàn)中存在越界寫入漏洞,，對vCenter Server具有網(wǎng)絡(luò)訪問權(quán)的惡意威脅者可以通過發(fā)送特制數(shù)據(jù)包來觸發(fā)越界寫入,，從而導(dǎo)致內(nèi)存損壞,。

CVE-2023-20895：VMware vCenter Server 越界讀取漏洞（高危）

vCenter Server 在DCERPC協(xié)議的實(shí)現(xiàn)中存在內(nèi)存損壞漏洞，對vCenter Server具有網(wǎng)絡(luò)訪問權(quán)的惡意威脅者可以觸發(fā)越界讀取和內(nèi)存損壞,，從而繞過身份驗(yàn)證,。

CVE-2023-20896：VMware vCenter Server 越界讀取漏洞（中危）

vCenter Server 在DCERPC協(xié)議的實(shí)現(xiàn)中存在越界讀取漏洞，對vCenter Server具有網(wǎng)絡(luò)訪問權(quán)的惡意威脅者可以通過發(fā)送特制數(shù)據(jù)包來觸發(fā)越界讀取,，從而導(dǎo)致目標(biāo)主機(jī)上的某些VMware服務(wù)（vmcad、vmdird 和 vmafdd）拒絕服務(wù),。

VMware vCenter Server 8.0版本：< 8.0 U1b

VMware vCenter Server 7.0版本：< 7.0 U3m

VMware Cloud Foundation (vCenter Server) 5.x版本：< 8.0 U1b

VMware Cloud Foundation (vCenter Server) 4.x版本：< 7.0 U3m

目前VMware已經(jīng)修復(fù)了這些漏洞,，受影響用戶可升級到以下修復(fù)版本：

VMware vCenter Server 8.0版本：8.0 U1b

VMware vCenter Server 7.0版本：7.0 U3m

VMware Cloud Foundation (vCenter Server) 5.x版本：8.0 U1b

VMware Cloud Foundation (vCenter Server) 4.x版本：7.0 U3m