- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
威胁预警团队
2021/11/23
VMware软件原生集成计算、网络和存储虚拟化技术及自动化和管理功能,支持企业革新其基础架构、自动化IT服务的交付和管理及运行新式云原生应用和基于微服务应用。近日,新华三攻防实验室威胁预警团队监测到VMware官方发布了安全公告,修复了一个VMware Spring Cloud Netflix中的模板解析漏洞,恶意攻击者可以利用该漏洞远程执行代码,在此新华三攻防实验室建议受影响的用户尽快安装更新补丁,以免受到影响。
该漏洞是由于VMware Spring Cloud在同时使用spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的应用程序时,公开了在解析视图模板期间执行请求URI路径中提交代码的方法。当在 ‘/hystrix/monitor;[user-provided data]` 上发出请求时,`hystrix/monitor` 后面的路径元素将被识别为 SpringEL 表达式,从而导致代码执行。
严重等级:高危
2.2.0.Release <= VMware Spring Cloud
Netflix <= 2.2.9.Release
目前官方已发布更新补丁,请受影响用户及时更新下载,官方链接:https://tanzu.vmware.com/security/cve-2021-22053
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.157版本支持对该漏洞的识别,H3C全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。
2、态势感知产品解决方案
新华三态势感知产品已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
产品与解决方案
售前咨询
售后咨询
人工在线咨询
