VMware軟體原生集成計算、網絡和存儲虛擬化技術及自動化和管理功能,支持企業革新其基礎架構、自動化IT服務的交付和管理及運行新式雲原生應用和基於微服務應用。近日,新華三攻防實驗室威脅預警團隊監測到VMware官方發布了安全公告,修復了一個VMware Spring Cloud Netflix中的模板解析漏洞,惡意攻擊者可以利用該漏洞遠程執行代碼,在此新華三攻防實驗室建議受影響的用戶儘快安裝更新補丁,以免受到影響。
該漏洞是由於VMware Spring Cloud在同時使用spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的應用程式時,公開了在解析視圖模板期間執行請求URI路徑中提交代碼的方法。當在 『/hystrix/monitor;[user-provided data]` 上發出請求時,`hystrix/monitor` 後面的路徑元素將被識別為 SpringEL 表達式,從而導致代碼執行。
2.2.0.Release <= VMware Spring Cloud
Netflix <= 2.2.9.Release
漏洞等級:高危
目前官方已發布更新補丁,請受影響用戶及時更新下載,官方連結:https://tanzu.vmware.com/security/cve-2021-22053
1、新華三安全設備防護方案
新華三IPS規則庫將在1.0.157版本支持對該漏洞的識別,新華三全系安全產品可通過升級IPS特徵庫識別該漏洞的攻擊流量,並進行主動攔截。
2、態勢感知產品解決方案
新華三態勢感知產品已支持該漏洞的檢測,通過信息搜集整合、數據關聯分析等綜合研判手段,發現網絡中遭受該漏洞攻擊及失陷的資產。
3、新華三雲安全能力中心解決方案
新華三雲安全能力中心知識庫已更新該漏洞信息,可查詢對應漏洞產生原理、升級補丁、修復措施等。
https://tanzu.vmware.com/security/cve-2021-22053