VMSA-2008-0015：更新版 ESXi 和 ESX 3.5 套件可解決 openwsman 中的重大安全性問題

high Nessus Plugin ID 52010

語系：

概要

遠端 VMware ESXi 主機遺漏安全性相關修補程式。

說明

a. 更新版 Openwsman

Openwsman 是實作 Web Services Management 通訊協定 (WS-Management) 的系統管理平台。系統預設為安裝並執行此平台。其用於 VMware Management Service Console 和 ESXi 中。

ESX 3.5 和 ESXi 3.5 上的 openwsman 2.0.0 管理服務容易受到 SuSE 安全性團隊發現的下列問題影響：

- 解碼 HTTP 基本驗證標頭時發生的兩個遠端緩衝區溢位

無有效登入認證的使用者可能惡意利用此弱點。
2.0.0 版之前的 Openwsman 不會受到此問題的影響。ESXi 3.5 修補程式 ESXe350-200808201-O-UG 已將 openwsman 更新至 2.0.0 版。
ESX 3.5 修補程式 ESX350-200808205-UG 已將 openwsman 更新至 2.0.0 版。這些修補程式已做為 ESX 和 ESXi Upgrade 2 版本的一部分進行安裝。可個別安裝 ESX 修補程式。

版本資訊與因應措施下列 VMware 知識庫文章將提供關於如何得知您環境中的 openwsman 版本，以及該問題的可能因應措施為何的資訊。
ESXi 3.5 請參閱 VMware 知識庫文章，網址為 http://kb.vmware.com/kb/1005818。
ESX 3.5 請參閱 VMware 知識庫文章，網址為 http://kb.vmware.com/kb/1006878。

注意：只有在攻擊者擁有服務主控台網路的存取權時，才能遠端惡意利用此弱點。
VMware 提供的安全性最佳作法建議將服務主控台與虛擬機器網路隔離。請參閱 http://www.vmware.com/resources/techresources/726 以取得有關 Vmware 安全性最佳作法的更多資訊。

Common Vulnerabilities and Exposures 專案 (cve.mitre.org) 已將名稱 CVE-2008-2234 指派給此問題。