VMware ESXi 多個 OpenSSL 弱點 (VMSA-2014-0004) (Heartbleed)

medium Nessus Plugin ID 87676
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 VMware ESXi 主機遺漏安全性相關修補程式。

描述

遠端 VMware ESXi 主機受 OpenSSL 第三方程式庫中的多個弱點影響:

- 橢圓曲線數位簽章演算法 (ECDSA) 實作中存在一個瑕疵,這是因為無法確保特定交換作業具有常數時間行為所導致。攻擊者可利用此瑕疵,透過 FLUSH+RELOAD 快取旁路攻擊取得 ECDSA nonce。(CVE-2014-0076)

- TLS/DTLS 實作中因為不當處理 TLS 活動訊號延伸模組封包,而存在一個稱為 Heartbleed 的超出邊界讀取錯誤。遠端攻擊者可利用特製的封包觸發緩衝區過度讀取弱點,進而導致洩漏多達 64KB 的包含主要金鑰內容、次要金鑰內容和其他受保護內容等敏感資訊的處理程序記憶體。(CVE-2014-0160)

解決方案

根據與 ESXi 5.5 / 5.5 U1 版有關的供應商公告,套用適當的修補程式。套用修補程式後,可能還需執行其他修復步驟。

另請參閱

https://www.vmware.com/security/advisories/VMSA-2014-0004

http://lists.vmware.com/pipermail/security-announce/2014/000244.html

http://www.heartbleed.com

http://eprint.iacr.org/2014/140

http://www.openssl.org/news/vulnerabilities.html#2014-0160

Plugin 詳細資訊

嚴重性: Medium

ID: 87676

檔案名稱: vmware_VMSA-2014-0004_remote.nasl

版本: 1.8

類型: remote

系列: Misc.

已發布: 2015/12/30

已更新: 2021/5/24

相依性: vmware_vsphere_detect.nbin

風險資訊

CVSS 評分資料來源: CVE-2014-0160

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 4.1

媒介: AV:N/AC:L/Au:N/C:P/I:N/A:N

時間媒介: E:F/RL:OF/RC:C

弱點資訊

CPE: cpe:/o:vmware:esxi:5.5

必要的 KB 項目: Host/VMware/version, Host/VMware/release

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/4/23

弱點發布日期: 2014/2/24

惡意利用途徑

Core Impact

參考資訊

CVE: CVE-2014-0076, CVE-2014-0160

BID: 66363, 66690

VMSA: 2014-0004

CERT: 720951

EDB-ID: 32745, 32764, 32791, 32998