適用 vCenter Server 的 VMware 安全性更新 (VMSA-2014-0012)

critical Nessus Plugin ID 79865
新推出!弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合,藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊: VPR 是什麼?它跟 CVSS 有何不同?

VPR 評分: 6.7

Synopsis

遠端主機上裝有受到多個安全性弱點影響的虛擬管理應用程式。

描述

遠端主機上安裝的 VMware vCenter Server 版本是 Update 3c 之前的 5.0、 Update 3 之前的5.1 或 Update 2 之前的 5.5。
因此,受到第三方程式庫中多個弱點影響:

- 連線至 ESXi 主機上的 CIM 伺服器時,由於不當驗證憑證,進而讓攻擊者得以執行攔截式攻擊。(CVE-2014-8371)

- 隨附的 Oracle JRE 版本比 1.6.0_81 舊,因此受到多個弱點影響。請注意,雖然只會影響 vCenter 5.1 和 5.0 版,但僅在 5.1 Update 3 中得以修正。

解決方案

升級至 VMware vCenter Server 5.5u2 (5.5.0 build-2001466) / 5.1u3 (5.1.0 build-2306353) / 5.0u3c (5.0.0 build-2210222) 或更新版本。

另請參閱

https://www.vmware.com/security/advisories/VMSA-2014-0012.html

http://lists.vmware.com/pipermail/security-announce/2014/000283.html

Plugin 詳細資訊

嚴重性: Critical

ID: 79865

檔案名稱: vmware_vcenter_vmsa-2014-0012.nasl

版本: 1.9

類型: remote

系列: Misc.

已發布: 2014/12/12

已更新: 2018/11/15

相依性: vmware_vcenter_detect.nbin

風險資訊

風險因素: Critical

VPR 評分: 6.7

CVSS v2.0

基本分數: 10

時間分數: 7.4

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: cpe:/a:vmware:vcenter_server

必要的 KB 項目: Host/VMware/vCenter, Host/VMware/version, Host/VMware/release

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/9/9

弱點發布日期: 2014/1/8

參考資訊

CVE: CVE-2014-0015, CVE-2014-0138, CVE-2014-0191, CVE-2014-2483, CVE-2014-2490, CVE-2014-4208, CVE-2014-4209, CVE-2014-4216, CVE-2014-4218, CVE-2014-4219, CVE-2014-4220, CVE-2014-4221, CVE-2014-4223, CVE-2014-4227, CVE-2014-4244, CVE-2014-4247, CVE-2014-4252, CVE-2014-4262, CVE-2014-4263, CVE-2014-4264, CVE-2014-4265, CVE-2014-4266, CVE-2014-4268, CVE-2014-8371

BID: 65270, 66457, 67233, 68562, 68571, 68576, 68580, 68583, 68590, 68596, 68599, 68603, 68608, 68612, 68615, 68620, 68624, 68626, 68632, 68636, 68639, 68642, 68645, 71493

VMSA: 2014-0012