安全漏洞周报（2024.09.16-2024.09.23 ）

漏洞速览

■ VMware vCenter Server 堆溢出漏洞(CVE-2024-38812)

漏洞详情

1.VMware vCenter Server 堆溢出漏洞(CVE-2024-38812)

影响组件：VMware vCenter Server 是 VMware 公司提供的一款关键的数据中心管理软件，它提供了 vSphere 虚拟基础架构的集中式管理。IT 管理员可以确保安全性和可用性，简化日常任务，并降低管理虚拟基础架构的复杂性。
漏洞危害：VMware vCenter Server 在 DCERPC 协议实施过程中存在堆溢出漏洞，攻击者可发送特制的网络数据包来触发此漏洞从而导致远程代码执行。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。影响范围：VMware vCenter Server 8.0 < 8.0 U3bVMware vCenter Server 7.0 < 7.0 U3sVMware Cloud Foundation 5.x < 8.0 U3bVMware Cloud Foundation 4.x < 7.0 U3s修复方案：目前官方已有可更新版本，建议受影响用户升级至最新版本：VMware vCenter Server 8.0 >= 8.0 U3bVMware vCenter Server 7.0 >= 7.0 U3sVMware Cloud Foundation 5.x >= 8.0 U3bVMware Cloud Foundation 4.x >= 7.0 U3s官方补丁下载地址：VMware vCenter Server 8.0 U3b：https://support.broadcom.com/web/ecx/solutiondetails?patchId=5515VMware vCenter Server 7.0 U3s：https://support.broadcom.com/web/ecx/solutiondetails?patchId=5513VMware Cloud Foundation 5.x/4.x：https://knowledge.broadcom.com/external/article?legacyId=88287以上内容均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，易安联以及文章作者不承担任何责任。

易安联玄影实验室

易安联玄影实验室，是易安联为落实公司发展战略，促进网络空间安全生态建设，孵化下一代安全能力，进行高级别的攻防对抗研究而组建的专业性安全实验室。推出的威胁情报和天织DNS威胁分析平台，可以为用户提供高效的威胁防护能力，帮助用户更好地应对各类网络威胁。

关于易安联

国家级专精特新小巨人企业——江苏易安联网络技术有限公司（www.enlink.top，简称易安联）是专业从事网络信息安全产品研发与销售的高新技术企业，是国内领先的“零信任”安全产品及解决方案提供商，公司总部位于南京，在北京、深圳、珠海、杭州、成都、合肥、济南、西安等地设立分支机构，公司致力于成为国内零信任安全领导者！

易安联专注零信任安全，先后发布EnSDP（零信任安界防护平台）、EnBox（零信任安全工作空间）、EnCASB（零信任云应用安全接入平台）、EnAppGate（统一资源发布系统）、EnIAM（零信任身份管理平台）、EnDTA(天织·DTA威胁分析系统)、EnSASE（安全访问服务平台）、Linkup one（零信任VPN接入系统）、天识·网站云监控平台等多款产品及解决方案，推出ZTNA零信任网络架构解决方案和EnSASE安全访问服务边缘解决方案并提供包括安全运维、实战攻防、应急演练等安全服务。公司目前客户已超千家，涵盖教育、金融、电力、互联网、运营商等行业。

https://mp.weixin.qq.com/s/LV1lOptBMkHMkkWLNXNHgg