VMware vSphere Update Manager Java 弱點 (VMSA-2015-0003)

medium Nessus Plugin ID 83184
新推出!弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合,藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊: VPR 是什麼?它跟 CVSS 有何不同?

VPR 評分: 4.8

Synopsis

遠端主機上安裝了一個受到 Java Runtime Environment (JRE) 弱點影響的 Update Manager。

描述

遠端 Windows 主機上安裝的 VMware vSphere Update Manager 版本為 Update 3d 之前的 5.0 版、Update 3a 之前的 5.1 版、Update 2e 之前的 5.5 版,或 6.0.0a 之前的 6.0 版。因此受到與 1.7.0_76 之前 Oracle JRE 隨附版本相關的一個弱點影響。在 JSSE 元件中存在一個瑕疵,這是因為在 SSL/TLS 交握期間,不當追蹤 ChangeCipherSpec 所致。攔截式攻擊者可惡意利用此瑕疵,造成重新建立未加密的連線。

請注意,此應用程式先前稱為 vCenter Update Manager。

解決方案

將 vSphere Update Manager 升級至 5.0 Update 3d / 5.1 Update 3a / 5.5 Update 2e / 6.0.0a 或更新版本。

另請參閱

https://www.vmware.com/security/advisories/VMSA-2015-0003.html

http://www.nessus.org/u?65907755

http://www.nessus.org/u?bfac928a

http://www.nessus.org/u?227f6681

http://www.nessus.org/u?7c26cddb

Plugin 詳細資訊

嚴重性: Medium

ID: 83184

檔案名稱: vmware_vcenter_update_mgr_vmsa-2015-0003.nasl

版本: 1.4

類型: local

代理程式: windows

系列: Windows

已發布: 2015/5/1

已更新: 2018/11/15

相依性: vmware_vcenter_update_mgr_installed.nasl

風險資訊

風險因素: Medium

VPR 評分: 4.8

CVSS v2.0

基本分數: 4

時間分數: 3.1

媒介: AV:N/AC:H/Au:N/C:P/I:P/A:N

時間媒介: E:POC/RL:OF/RC:C

弱點資訊

CPE: cpe:/a:vmware:vcenter_update_manager, cpe:/a:vmware:vsphere_update_manager

必要的 KB 項目: installed_sw/VMware vCenter Update Manager

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2015/4/30

弱點發布日期: 2015/1/20

參考資訊

CVE: CVE-2014-6593

BID: 72169

VMSA: 2015-0003