VMSA-2011-0003 ：适用于 VMware vCenter Server、vCenter Update Manager、ESXi 和 ESX 的第三方组件更新

high Nessus 插件 ID 51971

语言：

简介

远程 VMware ESXi/ESX 主机缺少一个或多个与安全有关的修补程序。

描述

a. vCenter Server 和 vCenter Update Manager 将 Microsoft SQL Server 2005 Express Edition 更新到 Service Pack 3

vCenter Server 4.1 Update 1 和 vCenter Update Manager 4.1 Update 1 随附的 Microsoft SQL Server 2005 Express Edition (SQL Express) 已从 SQL Express Service Pack 2 升级到 SQL Express Service Pack 3，可解决较早版本的 Microsoft SQL Express 中存在的多种安全问题。

使用其他数据库解决方案的客户不需要针对这些问题进行更新。

通用漏洞和暴露计划 (cve.mitre.org) 已为 MS SQL Express Service Pack 3 所解决的问题分配了名称 CVE-2008-5416、CVE-2008-0085、CVE-2008-0086、CVE-2008-0107 和 CVE-2008-0106。

b. vCenter Apache Tomcat Management 应用程序凭据泄露

Apache Tomcat Manager 应用程序配置文件包含本地非特权用户可读取的登录凭据。

已通过删除 vCenter 4.1 Update 1 中的 Manager 应用程序解决此问题。

若将 vCenter 4.1 更新到 vCenter 4.1 Update 1，更新后登录凭据不会存在于配置文件中。

VMware 在此感谢 Secure Networking 的 Claudio Criscione 向我们报告此问题。

通用漏洞和暴露计划 (cve.mitre.org) 已为此问题分配了名称 CVE-2010-2928。

c. vCenter Server 和 ESX、Oracle (Sun) JRE 已更新到 1.6.0_21 版

Oracle (Sun) JRE 更新到版本 1.6.0_21，解决了较早的 Oracle (Sun) JRE 版本中存在的多种安全问题。

通用漏洞和暴露计划 (cve.mitre.org) 已将下列名称分配给 Oracle (Sun) JRE 1.6.0_19 中修复的安全问题：CVE-2009-3555、CVE-2010-0082、CVE-2010-0084、CVE-2010-0085、CVE-2010-0087、CVE-2010-0088、CVE-2010-0089、CVE-2010-0090、CVE-2010-0091、CVE-2010-0092、CVE-2010-0093、CVE-2010-0094、CVE-2010-0095、CVE-2010-0837、CVE-2010-0838、CVE-2010-0839、CVE-2010-0840、CVE-2010-0841、CVE-2010-0842、CVE-2010-0843、CVE-2010-0844、CVE-2010-0845、CVE-2010-0846、CVE-2010-0847、CVE-2010-0848、CVE-2010-0849、CVE-2010-0850。

通用漏洞和暴露计划 (cve.mitre.org) 已将下列名称分配给 Oracle (Sun) JRE 1.6.0_20 中修复的安全问题：CVE-2010-0886。

d. vCenter Update Manager Oracle (Sun) JRE 已更新到 1.5.0_26 版

Oracle (Sun) JRE 更新到版本 1.5.0_26，解决了较早的 Oracle (Sun) JRE 版本中存在的多种安全问题。

通用漏洞和暴露计划 (cve.mitre.org) 已将下列名称分配给 Oracle (Sun) JRE 1.5.0_26 中修复的安全问题：CVE-2010-3556、CVE-2010-3566、CVE-2010-3567、CVE-2010-3550、CVE-2010-3561、CVE-2010-3573、CVE-2010-3565、CVE-2010-3568、CVE-2010-3569、CVE-2009-3555、CVE-2010-1321、CVE-2010-3548、CVE-2010-3551、CVE-2010-3562、CVE-2010-3571、CVE-2010-3554、CVE-2010-3559、CVE-2010-3572、CVE-2010-3553、CVE-2010-3549、CVE-2010-3557、CVE-2010-3541、CVE-2010-3574。

e. vCenter Server 和 ESX Apache Tomcat 已更新到 6.0.28 版

Apache Tomcat 已更新到 6.0.28 版，解决了较早的 Apache Tomcat 版本中存在的多种安全问题

通用漏洞和暴露计划 (cve.mitre.org) 已将下列名称分配给 Apache Tomcat 6.0.24 中修复的安全问题：CVE-2009-2693、CVE-2009-2901、CVE-2009-2902 和 CVE-2009-3548。

通用漏洞和暴露计划 (cve.mitre.org) 已将下列名称分配给 Apache Tomcat 6.0.28 中修复的安全问题：CVE-2010-2227 和 CVE-2010-1157。

f. vCenter Server 第三方组件 OpenSSL 已更新到 0.9.8n 版

vCenter Server 中的 OpenSSL 库已更新到 0.9.8n 版。

通用漏洞和暴露计划 (cve.mitre.org) 已为此版 OpenSSL 中解决的问题分配名称 CVE-2010-0740 和 CVE-2010-0433。

g. ESX 第三方组件 OpenSSL 已更新到 0.9.8p 版

ESX OpenSSL 库已更新到 0.9.8p 版。

通用漏洞和暴露计划 (cve.mitre.org) 已为本更新中解决的问题分配名称 CVE-2010-3864 和 CVE-2010-2939。

h. ESXi 第三方组件 cURL 已更新

ESXi 中的 cURL 库版本已更新。

通用漏洞和暴露计划 (cve.mitre.org) 已为此更新中解决的问题分配了名称 CVE-2010-0734。

i. ESX 第三方组件 pam_krb5 已更新

pam_krb5 库版本已更新。

通用漏洞和暴露计划 (cve.mitre.org) 已为本更新中解决的问题分配名称 CVE-2008-3825 和 CVE-2009-1384。

j。服务控制台内核的 ESX 第三方更新

服务控制台内核已更新，其中包含内核 2.6.18-194.11.1 版。

通用漏洞和暴露计划 (cve.mitre.org) 已为此更新中解决的问题分配了名称 CVE-2010-1084、CVE-2010-2066、CVE-2010-2070、CVE-2010-2226、CVE-2010-2248、CVE-2010-2521、CVE-2010-2524、CVE-2010-0008、CVE-2010-0415、CVE-2010-0437、CVE-2009-4308、CVE-2010-0003、CVE-2010-0007、CVE-2010-0307、CVE-2010-1086、CVE-2010-0410、CVE-2010-0730、CVE-2010-1085、CVE-2010-0291、CVE-2010-0622、CVE-2010-1087、CVE-2010-1173、CVE-2010-1437、CVE-2010-1088、CVE-2010-1187、CVE-2010-1436、CVE-2010-1641 和 CVE-2010-3081。

注意：
- 此更新也可解决以 CVE-2010-3081 标识的 64 位兼容性模式堆栈指针下溢问题。在 ESX 4.1 Update 1 版本发布前和先前的 ESX 4.0 修补程序中，此问题已通过 ESX 4.1 修补程序修补。
- 此更新也可解决 ESX 4.0 的 CVE-2010-2240 问题。