【漏洞更新】VMware View Planner远程代码执行漏洞 CVE-2021-21978

VMware View Planner是用于比较虚拟桌面部署平台的第一种全面的标准方法。View Planner使用专利技术，为在虚拟桌面平台上评估的所有桌面生成了客户端和服务器端性能的实际度量。View Planner使用一组丰富的常用应用程序作为桌面工作负载。

View Planner提供了一种一致的方法，该方法可捕获部署平台的总体可扩展性以及给定桌面内每个单独的应用程序操作的性能。工作负载已达到定义的性能阈值的虚拟桌面数量决定了总体基准评分。

近日，深信服安全团队监测到VMware官方发布了一则漏洞安全通告，通告披露了VMware View Planner组件存在远程代码执行漏洞，漏洞编号：CVE-2021-21978。该漏洞由于不正确的输入验证和缺乏授权，可以在logupload web应用程序中上传任意文件。能够访问View Planner Harness的攻击者可以上传并执行恶意文件，最终在logupload容器内远程执行代码。

漏洞主要成因：代码逻辑没有对传入的参数值进行校验，直接拼接了传入的路径，通过 覆盖 log_upload_wsgi.py文件，造成了远程代码执行。

漏洞简要分析：log_upload_wsgi.py内容如下，

首先获取参数logfile与logMetaData值，第一个if判断，将传入的logMetaData参数值赋值给logFileJson，第二个if条件判断， resultBasePath与传入的itrLogPath键值拼接的路径是否存在，不存在则直接创建，第三个if判断logfile是否为上传文件，如果传入的logFileJson参数值不等于workloadLogsZipFile,我们可以使用resultBasePath、itrLogPath和logFileType三个参数直接拼接路径，进行文件读写。

补丁对比：

官方新增了两个条件判断进行了修补，首先对于上传点loguplaod新增password参数值校验进行权限控制，然后对于拼接的路径会进行条件判断，必须位于resultBasePath值对应路径下（/etc/httpd/html/vpresults）才允许上传，至此完成漏洞修复。

搭建VMware View Planner组件4.6版本环境，复现该漏洞，效果如下：

目前受影响的VMware View Planner版本：4.6

当前官方已发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁。链接如下：

https://www.vmware.com/security/advisories/VMSA-2021-0003.html/

【 深信服下一代防火墙 】可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。

【 深信服云盾 】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。

【 深信服安全感知平台 】可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

【 深信服安全运营服务 】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初，云端安全专家即对客户的网络环境进行漏洞扫描，保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。

【 深信服安全云眼 】在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：http://saas.sangfor.com.cn

【 深信服云镜 】在漏洞爆发第一时间即完成检测能力的发布，部署云端版云镜的用户只需选择紧急漏洞检测，即可轻松、快速检测此高危风险。部署离线版云镜的用户需要下载离线更新包来获取该漏洞的检测能力。