VMware已经修补了vSphere Data Protection中的关键漏洞，是什么导致了这些VMware漏洞？除了打补丁之外，企业还可以做什么来缓解这些漏洞带来的风险？

Judith Myerson：VMware vSphere Data Protection（VDP）是一种作为虚拟设备进行部署的备份和恢复产品。它运行Linux客户机操作系统，并与VMware vCenter Server配合使用。

总的来说，VDP中的两个VMware漏洞可能使未经身份验证的攻击者能够在虚拟设备上执行命令。主要指向VDP的Java反序列化漏洞（CVE-2017-4914）。这一发现归功于NTT Security的安全顾问Tim Roberts、Arthur Chilipweli和Kelly Correll。

Java反序列化是许多编程语言用于通过网络传输复杂数据的技术。一方面，这种技术将Java对象分解成一系列字节。它在另一端将它们重新组合成Java对象。

当Java对象在被反序列化之前不能对其可信赖性进行验证时，可能会引入不受信任的数据。要访问已经被反序列化的数据，攻击者将需要根目标系统。获得升级的权限后，攻击者可能会利用可逆加密漏洞（CVE-2017-4917）。受影响的VDP版本使用可逆加密在本地存储来自vCenter Server的凭据，从而使得这些VMware漏洞特别危险。

风险之一是可逆加密可能会显示明文凭据。攻击者可以使用这些凭据远程登录，更改对象中的代码，在最糟糕的情况下会实施拒绝服务攻击。

为了防止这些VMware漏洞被利用，网络管理员应该：

将适当的VMware更新应用于VDP 6.1.x、6.0.x、5.8.x和5.5.x。VDP 6.1.x已被VDP 6.1.4替代。其他版本已被VDP 6.0.5替代。

确保信任用户具有适当的网络访问级别。

确保Java程序员具有适当的技能，以避免Java反序列化问题。

审核Java对象以确定它们是否安全地使用。