1、组件介绍

VMware Tanzu Application Service for VMs是一个完整的、可扩展的运行时环境，可扩展到大多数运行在Linux上的现代框架或语言。它是一个应用开发和部署平台，可以通过服务代理自动绑定到新的数据服务或现有的用户提供的服务。

2、漏洞描述

2021年11月11日，深信服安全团队监测到一则VMware Tanzu Application Service for VMs组件存在拒绝服务漏洞的信息，漏洞编号：CVE-2021-22101，漏洞威胁等级：高危。

该漏洞是由于VMware Tanzu Application Service for VMs使用了Cloud Foundry的CAPI (Cloud Controller)，CAPI存在拒绝服务漏洞。远程攻击者可以利用这个漏洞，通过使用REST HTTP请求并生成大量的SQL查询导致数据库(ccdb)不可用，从而导致服务被拒绝。

可能受漏洞影响的资产主要分布于美国。

目前受影响的VMware Tanzu Application Service for VMs版本：

VMware Tanzu Application Service for VMs 2.12.X

VMware Tanzu Application Service for VMs 2.11.X

VMware Tanzu Application Service for VMs 2.10.X

VMware Tanzu Application Service for VMs 2.9.X

VMware Tanzu Application Service for VMs 2.7.X

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时根据自身版本及时更新升级到最新版本。

2.12.X版本升级到2.12.1，链接如下：

https://network.pivotal.io/products/elastic-runtime#/releases/977821

2.11.X版本升级到2.11.8，链接如下：

https://network.pivotal.io/products/elastic-runtime#/releases/976752

2.10.X版本升级到2.10.20，链接如下：

https://network.pivotal.io/products/elastic-runtime#/releases/979089

2.9.X版本升级到2.9.28，链接如下：

https://network.pivotal.io/products/elastic-runtime#/releases/978786

2.7.X版本升级到2.7.40，链接如下：

https://network.pivotal.io/products/elastic-runtime#/releases/978504