VMSA-2023-0023 (CVE-2023-34048, CVE-2023-34056)

2023년 10월 24일에 발표된 VMware vCenter Server의 취약성 보고입니다.

vCenter Server Out-of-Bounds Write 취약성 (CVE-2023-34048)

Description

vCenter Server에는 DCERPC 프로토콜 구현에 범위를 벗어난 쓰기 취약성이 포함되어 있습니다. VMware는 CVSSv3 기본 점수가 9.8인 이 문제의 심각도를 Critical로 평가했습니다.

알려진 공격 벡터

vCenter Server에 대한 네트워크 액세스 권한이 있는 악의적인 행위자가 범위를 벗어난 쓰기를 트리거하여 원격 코드 실행으로 이어질 수 있습니다.

Resolution

CVE-2023-34048을 수정하려면 아래 Response Matrix 의 'Fixed Version' 열에 나열된 업데이트를 영향을 받는 배포에 적용합니다.

Workaround

제품 내 해결 방법을 조사했지만 Version Patch 이외에 실행 가능하지 않은 것으로 확인되었습니다.

추가 문서

추가 설명을 위해 추가 FAQ가 생성되었습니다.

참조: https://via.vmw.com/vmsa-2023-0023-qna

노트

• VMware는 VMware 보안 권고에서 단종 제품에 대해 언급하지 않지만, 이 취약성의 심각도와 해결 방법의 부족으로 인해 VMware는 vCenter Server 6.7U3, 6.5U3 및 VCF 3.x에 대한 패치를 일반 공급했습니다. 같은 이유로 VMware는 vCenter Server 8.0U1에 사용할 수 있는 추가 패치를 만들었습니다.
• VCF 5.x 및 4.x 배포를 위한 비동기 vCenter Server 패치를 사용할 수 있게 되었습니다. 자세한 내용은 KB88287 참조하십시오.

vCenter Server 부분적 정보 유출 취약성 (CVE-2023-34056)

Description

vCenter Server에 부분적인 정보 유출 취약성이 있습니다. VMware는 CVSSv3 기본 점수가 4.3인 이 문제의 심각도를 Moderate 범위로 평가했습니다.

알려진 공격 벡터

vCenter Server에 대한 non-admin 권한이 있는 악의적인 행위자가 이 문제를 악용하여 권한이 없는 데이터에 액세스할 수 있습니다.

Resolution

CVE-2023-34056을 수정하려면 아래 Response Matrix 의 ‘Fixed Version' 열에 나열된 업데이트를 영향을 받는 배포에 적용합니다.

Workaround

없음.

추가 문서

없음.

Response Matrix

제품	버전	CVE ID	CVSSv3	심각도	Download Link
VMware vCenter Server	8.0	CVE-2023-34048, CVE-2023-34056	9.8, 4.3	Critical	https://customerconnect.vmware.com/downloads/details?downloadGroup=VC80U2&productId=1345&rPId=110105	N/A
VMware vCenter Server	8.0	CVE-2023-34048	9.8	Critical	https://customerconnect.vmware.com/downloads/details?downloadGroup=VC80U1D&productId=1345&rPId=112378	N/A
VMware vCenter Server	7.0	CVE-2023-34048, CVE-2023-34056	9.8, 4.3	Critical	https://customerconnect.vmware.com/downloads/details?downloadGroup=VC70U3O&productId=974&rPId=110262	N/A
VMware Cloud Foundation	5.x, 4.x	CVE-2023-34048, CVE-2023-34056	9.8, 4.3	Critical	https://kb.vmware.com/s/article/88287	N/A

Fixed Version(s) and Release Notes:

VMware vCenter Server 8.0U2

Downloads and Documentation:

https://customerconnect.vmware.com/downloads/details?downloadGroup=VC80U2&productId=1345&rPId=110105

VMware vCenter Server 8.0U1d

Downloads and Documentation:

https://customerconnect.vmware.com/downloads/details?downloadGroup=VC80U1D&productId=1345&rPId=112378

VMware vCenter Server 7.0U3o

Downloads and Documentation:

https://customerconnect.vmware.com/downloads/details?downloadGroup=VC70U3O&productId=974&rPId=110262

Cloud Foundation 5.x/4.x

https://kb.vmware.com/s/article/88287