VMware ESXi 6.5 / 6.7 / 7.0 多种漏洞 (VMSA-2022-0020)
medium Nessus 插件 ID 192466
语言:
简介
远程 VMware ESXi 主机受到多个漏洞的影响。描述
版本为 6.5、6.7 或 7.0 的远程 VMware ESXi 主机受到多个漏洞的影响,如下所示:- 第 6 至 8 代 Intel 微处理器受到一个新 Spectre 变体的影响,它能够绕过内核中的 retpoline 缓解措施,泄漏任意数据。具有非特权用户访问权限的攻击者可劫持返回指令,从而在特定的微架构相关条件下执行任意推测代码。(CVE-2022-29901)
- 在某些 Intel(R) 处理器的上下文间不透明地共享返回预测器目标可能会让授权用户通过本地访问实现信息披露。(CVE-2022-26373)
- 分支预测器中的别名可能导致某些 AMD 处理器预测错误的分支类型,从而可能导致信息泄露。(CVE-2022-23825)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
应用供应商公告中提及的相应修补程序或变通方案。另见
https://www.vmware.com/security/advisories/VMSA-2022-0020.html
插件详情
严重性: Medium
ID: 192466
文件名: vmware_esxi_vmsa-2022-0020.nasl
版本: 1.2
类型: remote
系列: Misc.
发布时间: 2024/3/22
最近更新时间: 2024/3/25
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.0
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N
CVSS 分数来源: CVE-2022-29901
CVSS v3
风险因素: Medium
基本分数: 6.5
时间分数: 5.7
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:vmware:esxi
必需的 KB 项: Host/VMware/release, Host/VMware/vsphere
易利用性: No known exploits are available
补丁发布日期: 2022/7/12
漏洞发布日期: 2022/7/12
参考资料信息
CVE: CVE-2022-23816, CVE-2022-23825, CVE-2022-26373, CVE-2022-28693, CVE-2022-29901
VMSA: 2022-0020