VMSA-2018-0018:VMware Horizon View Agent、VMware ESXi、Workstation 和 Fusion 更新解決了數個安全性問題
high Nessus Plugin ID 111350
語系:
Synopsis
遠端 VMware ESXi 主機缺少一或多個與安全性相關的修補程式。描述
a. VMware Horizon View Agent 本機資訊洩漏弱點 VMware Horizon View Agents 含有一個本機資訊洩漏弱點,這是因為安裝期間 (包括自動安裝在內) 指定一個非目前登入的使用者帳戶,而在 vmmsi.log 檔案中不安全記錄認證所致。成功惡意利用此問題可能會讓低權限使用者得以存取在 Horizon View Agent 安裝期間指定的認證。Common Vulnerabilities and Exposures 專案 (cve.mitre.org) 已將識別碼 CVE-2018-6971 指派給此問題。b. ESXi、Workstation 和 Fusion 拒絕服務弱點 Vmware ESXi、Workstation 和 Fusion 含有一個拒絕服務弱點,這是因為 RPC 處理常式中的 NULL 指標解除參照問題所致。若成功惡意利用此問題,具備正常使用者權限的攻擊者可藉以損毀其 VM。VMware 感謝與 Trend Micro 的 Zero Day Initiative 的 Hahna Latonick 和 Kevin Fujimoto 向我們報告這個問題。Common Vulnerabilities and Exposures 專案 (cve.mitre.org) 已將識別碼 CVE-2018-6972 指派給此問題。解決方案
套用遺漏的修補程式。另請參閱
http://lists.vmware.com/pipermail/security-announce/2018/000423.html
Plugin 詳細資訊
嚴重性: High
ID: 111350
檔案名稱: vmware_VMSA-2018-0018.nasl
版本: 1.5
類型: local
已發布: 2018/7/26
已更新: 2020/1/10
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 4
媒介: AV:N/AC:L/Au:S/C:N/I:N/A:P
CVSS v3
風險因素: High
基本分數: 7.8
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
弱點資訊
CPE: cpe:/o:vmware:esxi:5.5, cpe:/o:vmware:esxi:6.0, cpe:/o:vmware:esxi:6.5, cpe:/o:vmware:esxi:6.7
必要的 KB 項目: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version
修補程式發佈日期: 2018/7/19
參考資訊
CVE: CVE-2018-6971, CVE-2018-6972
VMSA: 2018-0018