VMware vCenter Server CVE-2020-3952 漏洞分析与修复指南

漏洞概述

CVE-2020-3952 是 VMware vCenter Server 中的一个超危信息泄露漏洞，CVSS v3 评分为满分 10.0。该漏洞影响使用 Directory Service (vmdir) 的 vCenter Server 或其他服务。

受影响版本

• 受影响版本：vCenter Server 6.7（仅限从旧版本升级而来的安装）
• 不受影响版本：
  • 直接安装的 vCenter Server 6.7 版本（嵌入式或外部 PSC）
  • 已升级到 6.7u3f 及更高版本的 vCenter Server

漏洞细节

漏洞组件

该漏洞存在于 vmdir 服务中，这是嵌入式或外部 Platform Service Controller (PSC) 的组成部分。vCenter Server 使用 vmdir 进行身份认证。

漏洞本质

在特定情况下，vmdir 没有正确实现访问控制机制，导致未经授权的信息泄露。

利用条件

• 系统必须是从旧版本升级到 vCenter Server 6.7 的安装
• 攻击者需要能够访问受影响系统

检测方法

日志检查

vmdir 服务在启用传统 ACL 模式时会创建特定的日志条目。管理员可以通过搜索日志中的以下条目来判断系统是否受影响：

2020-04-06T17:50:41.860526+00:00 info vmdird t@139910871058176: ACLMODE: Legacy

修复方案

官方补丁

VMware 已在 vCenter Server 6.7u3f 版本中修复了该漏洞。建议所有受影响用户立即升级到该版本或更高版本。

升级路径

1. 下载 vCenter Server 6.7u3f 或更高版本的安装包
2. 按照 VMware 官方升级指南执行升级操作
3. 验证升级后版本号
4. 检查日志确认传统 ACL 模式已被禁用

相关漏洞

VMware 在同期还修复了其他几个高危漏洞：

1. CVE-2020-3950

   • 类型：权限提升漏洞
   • 原因：不当使用 setuid 二进制文件
   • 影响：攻击者可利用该漏洞将权限提升至 root

2. CVE-2020-3951

   • 类型：拒绝服务漏洞
   • 原因：Cortado Thinprint 中的堆溢出问题
   • 影响：可导致服务崩溃

最佳实践

1. 定期检查 VMware 安全公告并及时应用补丁
2. 对关键系统实施网络隔离，限制访问
3. 启用日志监控，及时发现异常行为
4. 对于无法立即升级的系统，考虑实施额外的访问控制措施
5. 定期审计系统配置和权限设置

总结

CVE-2020-3952 是一个严重的信息泄露漏洞，影响特定配置的 vCenter Server 6.7 系统。由于其 CVSS 评分为 10.0，管理员应优先处理此漏洞，按照上述指南进行检测和修复，以保护企业虚拟化环境的安全。