一、漏洞公告

2021 年 2 月 23 日，VMware 官方更新发布了 VMware vCenter Server、VMware vCloud Foundation、VMware ESXi 等产品存在安全漏洞的公告，其中包含有远程代码执行漏洞和缓冲区溢出漏洞，风险较高，对应 CVE 编号：CVE-2021-21972、CVE-2021-21974。

根据公告，漏洞存在于 vSphere Client(HTML5)包含的 vCenter Server 插件中，恶意攻击者成功利用该漏洞能对部署在vCenter Server 上的系统执行特权命令，从而实现代码执行效果。另外，ESXi 中使用的 OpenSLP 服务存在缓冲区溢出漏洞，恶意攻击者可以通过 OpenSLP 服务端口427实施攻击，成功利用漏洞能实现远程代码执行效果，从而获得目标系统管理权限，建议尽快测试漏洞修复的版本并及时升级。

二、影响范围

影响范围CVE-2021-21972 远程代码执行漏洞主要影响以下VMware vCenter Server 版本：VMware vCenter Server 7.0 版本，建议更新到 7.0 U1c 以上版本；VMware vCenter Server 6.7 版本，建议更新到 6.7 U3l 以上版本；VMware vCenter Server 5.5 版本，建议更新到 6.5 U3n 以上版本；Cloud Foundation (vCenter Server)4.x 版本，建议更新到 4.2 以上版本；Cloud Foundation (vCenter Server)4.x 版本，建议更新到 3.10.1.2 以上版本。

三、缓解措施

目前漏洞细节和利用代码已经部分公开，建议尽快测试漏修复的版本并及时升级。由于在 vROps（vRealizeOperations）中，vCenter Server 为默认安装，建议参考官方加固指南对其禁用，修改配置文件（注意备份）：

Linux系统文件路径：/etc/vmware/vsphere-ui/compatibility-matrix.xml (vCSA)

Windows系统文件路径：C:ProgramDataVMwarevCenterServercfgvsphere-ui (Windows VC)

使用文本编辑器插入

<Matrix>
<pluginsCompatibility>
 . . . . 
 . . . . 
<PluginPackageid="com.vmware.vrops.install"status="incompatible"/>
</pluginsCompatibility>
</Matrix>

需要重启 vsphere-ui 服务生效，更多操作参考KB：
VMware vCenter Server Workaround Instructions for CVE-2021-21972 and CVE-2021-21973 (82374)

同时，针对 OpenSLP 的临时禁用和启用操作参考：
/etc/init.d/slpd stop（停止）
/etc/init.d/slpd start（启动）
禁用和启用等更多操作参考KB：
How to Disable/Enable CIM Server on VMware ESXi (76372)