vRealize Automation 设备 7.2/7.3/7.4 针对要求本地访问的漏洞的解决办法
Article ID: 301340
Updated On:
Products
VMware Aria Suite
Issue/Introduction
vRealize Automation 团队已调查要求本地访问(如本地特权升级、本地信息披露、本地拒绝服务等)的漏洞的影响,并确定可通过执行本文详述的步骤,保护该产品免受这些类型漏洞的影响。此权宜措施只是为了临时解决此问题。
警告:
权宜措施 1:实施该解决办法后,解决办法部分中确定的所有非 root 自定义用户可能无法执行以前能够执行的操作,因为已禁用他们的 SSH 访问权限。
权宜措施 2:实施该解决办法后,所有用户(包括 root 用户)可能无法执行以前能够执行的操作,因为已禁用 SSH 服务。
Symptoms:
免责声明: 本文是 vRealize Automation Appliance 7.2 / 7.3 / 7.4 Workaround for vulnerabilities which require local access (52377) 的翻译版本。 尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。 有关最新内容,请参见英文版本。
警告:
- 此临时解决办法仅适用于 vRealize Automation Appliance 7.2/7.3/7.4。不要将此权宜措施应用于其他 VMware 产品。
- 此临时解决办法必须应用于高可用性部署中的所有 vRealize Automation 设备。
权宜措施 1:实施该解决办法后,解决办法部分中确定的所有非 root 自定义用户可能无法执行以前能够执行的操作,因为已禁用他们的 SSH 访问权限。
权宜措施 2:实施该解决办法后,所有用户(包括 root 用户)可能无法执行以前能够执行的操作,因为已禁用 SSH 服务。
Symptoms:
免责声明: 本文是 vRealize Automation Appliance 7.2 / 7.3 / 7.4 Workaround for vulnerabilities which require local access (52377) 的翻译版本。 尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。 有关最新内容,请参见英文版本。
Environment
VMware vRealize Automation 7.3.x
VMware vRealize Automation 7.2.x
VMware vRealize Automation 7.4.x
VMware vRealize Automation 7.2.x
VMware vRealize Automation 7.4.x
Resolution
请参见 Workaround 权宜措施部分。
Workaround:
要实施临时解决办法,请执行以下操作之一:
test:x:1020:100:test:/home/test:/sbin/nologin
test:x:1020:100:test:/home/test:/bin/bashsh
Workaround:
要实施临时解决办法,请执行以下操作之一:
权宜措施 1
移除非 root 用户对设备 shell 的访问权限:- 使用 SSH 会话以 root 用户身份登录到 vRealize Automation 设备。
- 使用以下命令备份 /etc/passwd 文件:
cp /etc/passwd /etc/passwd.bkup
- 下载 52377_identify_non_root_users.py.gz 脚本。
- 提取脚本并将其传输到设备。
- 运行以下命令以确保该脚本可执行:
chmod 755 identify_non_root_users.py
- 要列出所有非 root 自定义用户,请运行以下命令,并记下列出的用户
python identify_non_root_users.py
如果控制台中未列出任何用户,则表示没有要禁用的用户。
- 使用以下命令在纯文本编辑器中打开 /etc/passwd 文件:
vi /etc/passwd
- 搜索在步骤 6 中确定的所有非 root 用户。
例如,用户测试有权访问 bash。
test:x:1020:100:test:/home/test:/bin/bash
- 将默认 shell 访问权限由 /bin/bash 更改为 /sbin/nologin。
例如:
test:x:1020:100:test:/home/test:/sbin/nologin
- 保存并退出文件。
- 尝试使用 SSH 以步骤 6 中的非 root 用户身份登录到 vRealize Automation 设备。
- 非 root 用户应该不再能够登录。
- 使用 SSH 会话以 root 用户身份登录到 vRealize Automation 设备。
- 使用以下命令备份 /etc/passwd 文件:
cp /etc/passwd /etc/passwd.modified.bkup
- 将所有非 root 用户的默认 shell 访问权限由 /sbin/nologin 更改为 /bin/bash。
例如:
test:x:1020:100:test:/home/test:/bin/bashsh
- 保存并退出文件
权宜措施 2
在 vRealize Automation 设备上禁用 SSH shell:- 使用 SSH 会话以 root 用户身份登录到 vRealize Automation 设备。
- 登录后,运行以下命令:
- /etc/init.d/sshd stop
- chkconfig sshd off
要验证解决办法,请运行以下步骤:
- 尝试使用 SSH 从任何其他计算机登录到设备。
- 此时应提示连接被拒绝。
要移除此解决办法,请运行以下步骤:
- 从 vSphere 控制台以 root 身份登录。
- 使用命令 /etc/init.d/sshd start 启动 ssh 服务。
- 运行命令 chkconfig sshd on。
- CVE-2017-5753
- CVE-2017-5715
- CVE-2017-5754
Attachments
Feedback
Yes
No
Powered by
