VMSA-2014-0008:第三方程式庫的 VMware vSphere 產品更新

high Nessus Plugin ID 77630

Synopsis

遠端 VMware ESXi 主機遺漏安全性相關修補程式。

描述

a. vCenter Server Apache Struts 更新

Apache Struts 程式庫已更新,可解決一個安全性問題。

此問題可導致驗證後發生遠端程式碼執行。

Common Vulnerabilities and Exposures 專案 (cve.mitre.org) 已將識別碼 CVE-2014-0114 指派給此問題。


b. vCenter Server tc-server 2.9.5 / Apache Tomcat 7.0.52 更新

tc-server 已更新至 2.9.5 版,可解決多個安全性問題。此 tc-server 版本提供 Apache Tomcat 7.0.52。

Common Vulnerabilities and Exposures 專案 (cve.mitre.org) 已將識別碼 CVE-2013-4590、CVE-2013-4322 和 CVE-2014-0050 指派給這些問題。

c. ESXi glibc 套件的更新

glibc 已更新,可解決多個安全性問題。

Common Vulnerabilities and Exposures 專案 (cve.mitre.org) 已將識別碼 CVE-2013-0242 和 CVE-2013-1914 指派給這些問題。

d. vCenter 和 Update Manager、Oracle JRE 1.7 Update 55

Oracle 在 2014 年 4 月 Oracle Java SE 重要修補程式更新公告中記錄已在 JRE 1.7.0 Update 55 中解決的 CVE 識別碼。「參照」一節提供了此公告的連結。

解決方案

套用遺漏的修補程式。

另請參閱

http://lists.vmware.com/pipermail/security-announce/2014/000282.html

Plugin 詳細資訊

嚴重性: High

ID: 77630

檔案名稱: vmware_VMSA-2014-0008.nasl

版本: 1.30

類型: local

已發布: 2014/9/11

已更新: 2021/1/6

風險資訊

VPR

風險因素: Critical

分數: 9.4

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.2

媒介: AV:N/AC:L/Au:N/C:P/I:P/A:P

時間媒介: E:F/RL:OF/RC:C

弱點資訊

CPE: cpe:/o:vmware:esxi:5.1, cpe:/o:vmware:esxi:5.5

必要的 KB 項目: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/9/9

惡意利用途徑

Metasploit (Apache Struts ClassLoader Manipulation Remote Code Execution)

參考資訊

CVE: CVE-2013-0242, CVE-2013-1914, CVE-2013-4322, CVE-2013-4590, CVE-2014-0050, CVE-2014-0114

BID: 57638, 58839, 63676, 64493, 65400, 65568, 65767, 65768, 66856, 66866, 66870, 66873, 66877, 66879, 66881, 66883, 66886, 66887, 66891, 66893, 66894, 66897, 66898, 66899, 66902, 66903, 66904, 66905, 66907, 66908, 66909, 66910, 66911, 66912, 66913, 66914, 66915, 66916, 66917, 66918, 66919, 66920, 67121

VMSA: 2014-0008