VMware vCenter Server 6.0 / 6.5 / 6.7 多個弱點 (VMSA-2019-0013)
high Nessus Plugin ID 129503
語系:
概要
遠端主機上安裝的虛擬化管理應用程式受到多個弱點影響。說明
遠端主機上安裝的 VMware vCenter Server 是 U3j 之前的 6.0 版、U3 之前的 6.5 版或 U3 之前的 6.7 版,因此受到下列弱點影響:- 因為工作階段到期不足所導致的一個資訊洩漏弱點。這可讓具有實體存取權或能模擬連至使用者瀏覽器的 Websockt 連線的攻擊者在使用者工作階段逾時或使用者已登出後,控制 VM 主控台。(CVE-2019-5531) - 透過 OVF 記錄虛擬機器認證的純文字所導致的一個訊息洩漏弱點。這可讓可存取包含從 OVF 部署的虛擬機器的 vCenter OVF 內容的記錄檔的攻擊者查看用來部署 OVF 的認證,這些認證通常屬於虛擬機器的 root 帳戶。(CVE-2019-5532) - 從 OVF 部署的虛擬機器中有一個資訊洩漏弱點,可能透過虛擬機器的 vAppConfig 內容而洩漏登入資訊。可存取從 OVF 部署的虛擬機器的 vAppConfig 內容查詢的攻擊者可查看用來部署 OVC 的認證,這些認證通常屬於虛擬機器的 root 帳戶。(CVE-2019-5534) 請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。解決方案
升級至 VMware vCenter Server 6.0 U3j、6.5 U3 或 6.7 U3 版或更新版本。另請參閱
https://www.vmware.com/security/advisories/VMSA-2019-0013.html
Plugin 詳細資訊
嚴重性: High
ID: 129503
檔案名稱: vmware_vcenter_vmsa-2019-0013.nasl
版本: 1.5
類型: remote
系列: Misc.
已發布: 2019/10/2
已更新: 2022/5/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 5.8
時間分數: 4.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS 評分資料來源: CVE-2019-5531
CVSS v3
風險因素: High
基本分數: 7.7
時間分數: 6.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2019-5534
弱點資訊
CPE: cpe:/a:vmware:vcenter_server
必要的 KB 項目: Host/VMware/release, Host/VMware/version, Host/VMware/vCenter
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2019/9/16
弱點發布日期: 2019/9/18
參考資訊
CVE: CVE-2019-5531, CVE-2019-5532, CVE-2019-5534
IAVA: 2019-A-0344
VMSA: 2019-0013