VMware从vSphere Data Protection中删除硬编码的根访问密钥

VMware已发布用于vSphere Data Protection（VDP）的修补程序，以更改硬编码的SSH键，该密钥可能允许远程攻击者获得对虚拟设备的root访问权限。

VDP是一种基于磁盘的备份和恢复产品，其运行为打开虚拟设备（OVA）。它与VMware vCenter Server集成并提供了最多100个虚拟机的备份作业的集中管理。

根据VMware支持文章，vSphere Data Protection（VDP）设备包含具有已知密码的静态SSH私钥。此键允许与EMC Avamar，重复数据删除备份和恢复软件解决方案的互操作性，并在VDP上作为授权时预先突出。

“具有访问内部网络的攻击者可能会滥用此方法以访问具有root权限的设备，并进一步执行完全妥协，”VMware表示。

该公司将此漏洞提出至关重要，并开发了可以在设备上复制和执行的修补程序，以更改默认的SSH键并设置新密码。

开发具有硬编码访问凭据的设备，用户可以“T更改是一个严重的安全弱点。不幸的是，这是过去的常见做法，而且供应商一直在努力在过去几年中清理他们的设备上的错误。

在周二，VMware还修复了其vSphere管理程序（ESXi）产品中存储的跨站点脚本漏洞。缺陷被评为重要。

“可以通过攻击者引入问题，该攻击者通过ESXi主机客户或通过欺骗vSphere管理员进口特制VM的攻击者来引入，以便在咨询中表示。“可以在系统上触发该问题，从ESXi主机客户端用于管理特制VM的位置。”

VMware发布了ESXi 5.5和6.0的安全修复，以修复此缺陷，并建议用户不会从不受信任的源导入VM。