VMware 发布软件更新，这是VMware 在两个月内第二次更新以解决 vCenter Server 中国黑客大赛中展示的远程代码执行漏洞。

9月份，博通发布针对漏洞CVE-2024-38812的安全更新并未完全解决风险。

该漏洞的编号为CVE-2024-38812（CVSS 评分：9.8），涉及 DCE/RPC 协议实现中的堆溢出漏洞。

VMware 表示：“通过网络访问 vCenter Server 的恶意攻击可能会通过发送特制的网络数据包来触发此漏洞，从而可能导致远程代码执行。”

该漏洞最初由 TZL 团队的 zbl 和 srs 在今年早些时候在中国举行的 Matrix Cup 网络安全竞赛上报告。未经身份验证的攻击者可以在不需要用户交互的低复杂度攻击中远程利用它，“通过发送可能导致远程代码执行的特制网络数据包”。

该公司指出：“Broadcom 旗下的 VMware 已确定 2024 年 9 月 17 日发布的 vCenter 补丁并未完全解决 CVE-2024-38812。”

以下 vCenter Server 版本提供了针对此漏洞的新补丁：

它还可用作 VMware Cloud Foundation 版本 5.x、5.1.x 和 4.x 的异步补丁。

目前尚无已知的缓解措施。

虽然没有证据表明该漏洞已被利用，但建议用户更新到最新版本以防范潜在威胁。

参考broadcom官方漏洞公告：

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968

新闻链接：

https://thehackernews.com/2024/10/vmware-releases-vcenter-server-update.html