VMSA-2014-0003:VMware vSphere Client 更新可解決安全性弱點

high Nessus Plugin ID 73469

概要

遠端 VMware ESXi / ESX 主機缺少一個安全性相關修補程式。

說明

a. vSphere Client 不安全的用戶端下載

vSphere Client 中包含一個弱點,可從未受信任的來源接受更新的 vSphere Client 檔案。該弱點可能允許主機引導 vSphere Client 從任何 URI 下載及執行任意檔案。如果主機已遭入侵,或使用者被誘騙按一下惡意連結,則可惡意利用此問題。

VMware 要感謝 Recurity Labs GmbH 和 der Informationstechnik (BSI) 中的 Bundesamt Sicherheit 向我們報告此問題

Common Vulnerabilities and Exposures 專案 (cve.mitre.org) 已將名稱 CVE-2014-1209 指派給此問題。

解決方案

套用遺漏的修補程式。

另請參閱

http://lists.vmware.com/pipermail/security-announce/2014/000236.html

Plugin 詳細資訊

嚴重性: High

ID: 73469

檔案名稱: vmware_VMSA-2014-0003.nasl

版本: 1.12

類型: local

已發布: 2014/4/11

已更新: 2021/1/6

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 9.3

時間分數: 6.9

媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

弱點資訊

CPE: cpe:/o:vmware:esx:4.0, cpe:/o:vmware:esx:4.1, cpe:/o:vmware:esxi:4.0, cpe:/o:vmware:esxi:4.1

必要的 KB 項目: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/4/10

參考資訊

CVE: CVE-2014-1209, CVE-2014-1210

BID: 66772, 66773

VMSA: 2014-0003