偵測

VMware vCenter Server Appliance 6.5 < 6.5 U1 Multiple Vulnerabilities (VMSA-2017-0013)

high Nessus Plugin ID 102084

語系:

概要

遠端主機上安裝的虛擬化應用裝置受到多個弱點影響。

說明

遠端主機上安裝的 VMware vCenter Server Appliance 版本是 6.5 Update 1 (6.5 U1) 之前的 6.5。因此,會受到多個弱點影響:- 有一個不安全的程式庫載入問題存在,這是因為使用了 LD_LIBRARY_PATH 變數來尋找特定檔案或尋找包含目前工作目錄的程式庫 (可能不受信任或不受使用者掌控) 所導致。未經驗證的遠端攻擊者可加以惡意利用,在執行安裝程式之前,透過在路徑中放入特製的程式庫,在目前使用者的內容中插入並執行任意程式碼。(CVE-2017-4921) - service startup 指令碼中有一個資訊揭露弱點存在,這是因為針對重要資訊暫存庫使用了不安全全域可寫入目錄所導致。本機攻擊者可加以惡意利用,洩露敏感資訊。(CVE-2017-4922) - 檔案型備份功能中有一個資訊洩露弱點存在,這是因為以純文字格式儲存敏感資訊所導致。未經驗證的遠端攻擊者可加以惡意利用,來洩露認證。(CVE-2017-4923)

解決方案

升級至 VMware vCenter Server Appliance 6.5 Update 1 (6.5 U1) 或更新版本。

另請參閱

https://www.vmware.com/security/advisories/VMSA-2017-0013.html

Plugin 詳細資訊

嚴重性: High

ID: 102084

檔案名稱: vmware_vcenter_server_appliance_vmsa-2017-0013.nasl

版本: 1.7

類型: local

系列: Misc.

已發布: 2017/7/31

已更新: 2019/11/12

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.5

時間分數: 4.8

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2017-4921

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:vmware:vcenter_server_appliance

必要的 KB 項目: Host/VMware vCenter Server Appliance/Version, Host/VMware vCenter Server Appliance/Build

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2017/7/27

弱點發布日期: 2017/7/27

參考資訊

CVE: CVE-2017-4921, CVE-2017-4922, CVE-2017-4923

BID: 99997, 100006, 100012

VMSA: 2017-0013