VMSA-2011-0013:适用于 VMware vCenter Server、vCenter Update Manager、ESXi 和 ESX 的 VMware 第三方组件更新

critical Nessus 插件 ID 56665

简介

远程 VMware ESXi/ESX 主机缺少一个或多个与安全有关的修补程序。

描述

a. 适用于服务控制台 openssl RPM 的 ESX 第三方更新

服务控制台 openssl RPM 已更新到 openssl-0.9.8e.12.el5_5.7,解决了两个安全问题。

通用漏洞和暴露计划 (cve.mitre.org) 已为这些问题分配了名称 CVE-2008-7270 和 CVE-2010-4180。
b. 适用于服务控制台 libuser RPM 的 ESX 第三方更新 服务控制台 libuser RPM 已更新到版本 0.54.7-2.1.el5_5.2,解决了一个安全问题。
通用漏洞和暴露计划 (cve.mitre.org) 已为此问题分配了名称 CVE-2011-0002。
c. 适用于服务控制台 nss 和 nspr RPM 的 ESX 第三方更新 服务控制台 Network Security Services (NSS) 和 Netscape Portable Runtime (NSPR) 库已更新到 nspr-4.8.6-1 及 nss-3.12.8-4,解决了多个安全问题。
通用漏洞和暴露计划 (cve.mitre.org) 已为这些问题分配了名称 CVE-2010-3170 和 CVE-2010-3173。
d. vCenter Server 和 ESX、Oracle (Sun) JRE 更新 1.6.0_24

Oracle (Sun) JRE 已更新到版本 1.6.0_24,解决了较早的 Oracle (Sun) JRE 版本中存在的多种安全问题。
通用漏洞和暴露计划 (cve.mitre.org) 已将下列名称分配给 JRE 1.6.0_24 中修正的安全问题:CVE-2010-4422、CVE-2010-4447、CVE-2010-4448、CVE-2010-4450、CVE-2010-4451、CVE-2010-4452、CVE-2010-4454、CVE-2010-4462、CVE-2010-4463、CVE-2010-4465、CVE-2010-4466、CVE-2010-4467、CVE-2010-4468、CVE-2010-4469、CVE-2010-4470、CVE-2010-4471、CVE-2010-4472、CVE-2010-4473、CVE-2010-4474、CVE-2010-4475 和 CVE-2010-4476。
通用漏洞和暴露计划 (cve.mitre.org) 已将下列名称分配给 JRE 1.6.0_22 中修正的安全问题:CVE-2010-1321、CVE-2010-3541、CVE-2010-3548、CVE-2010-3549、CVE-2010-3550、CVE-2010-3551、CVE-2010-3552、CVE-2010-3553、CVE-2010-3554、CVE-2010-3555、CVE-2010-3556、CVE-2010-3557、CVE-2010-3558、CVE-2010-3559、CVE-2010-3560、CVE-2010-3561、CVE-2010-3562、CVE-2010-3563、CVE-2010-3565、CVE-2010-3566、CVE-2010-3567、CVE-2010-3568、CVE-2010-3569、CVE-2010-3570、CVE-2010-3571、CVE-2010-3572、CVE-2010-3573 和 CVE-2010-3574。
e. vCenter Update Manager,Oracle (Sun) JRE 更新 1.5.0_30

Oracle (Sun) JRE 更新到 1.5.0_30 版,其解决了较早的 Oracle (Sun) JRE 版本中存在的多个安全问题。

通用漏洞和暴露计划 (cve.mitre.org) 已将下列名称分配给 Oracle (Sun) JRE 1.5.0_30 中修正的安全问题:CVE-2011-0862、CVE-2011-0873、CVE-2011-0815、CVE-2011-0864、CVE-2011-0802、CVE-2011-0814、CVE-2011-0871、CVE-2011-0867 和 CVE-2011-0865。

通用漏洞和暴露计划 (cve.mitre.org) 已将下列名称分配给 Oracle (Sun) JRE 1.5.0_28 中修正的安全问题:CVE-2010-4447、CVE-2010-4448、CVE-2010-4450、CVE-2010-4454、CVE-2010-4462、CVE-2010-4465、CVE-2010-4466、CVE-2010-4468、CVE-2010-4469、CVE-2010-4473、CVE-2010-4475、CVE-2010-4476。

f. VMware 第三方组件 sfcb 中的整数溢出

此版本可解决将 /etc/sfcb/sfcb.cfg 中的 httpMaxContentLength 从默认值变更为 0 时,第三方库 SFCB 中存在的一个整数溢出问题。
此整数溢出可允许远程攻击者通过 Content-Length HTTP 标头中的大整数,造成拒绝服务(堆内存损坏)或可能执行任意代码。
通用漏洞和暴露计划 (cve.mitre.org) 已为此问题分配名称 CVE-2010-2054。

解决方案

安装缺失的修补程序。

另见

http://lists.vmware.com/pipermail/security-announce/2012/000169.html

插件详情

严重性: Critical

ID: 56665

文件名: vmware_VMSA-2011-0013.nasl

版本: 1.51

类型: local

发布时间: 2011/10/28

最近更新时间: 2021/1/6

风险信息

VPR

风险因素: Critical

分数: 9.8

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:H/RL:OF/RC:C

漏洞信息

CPE: cpe:/o:vmware:esx:4.0, cpe:/o:vmware:esx:4.1, cpe:/o:vmware:esxi:4.1

必需的 KB 项: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

可利用: true

易利用性: Exploits are available

补丁发布日期: 2011/10/27

可利用的方式

CANVAS (CANVAS)

Core Impact

Metasploit (Sun Java Applet2ClassLoader Remote Code Execution)

参考资料信息

CVE: CVE-2008-7270, CVE-2010-1321, CVE-2010-2054, CVE-2010-3170, CVE-2010-3173, CVE-2010-3541, CVE-2010-3548, CVE-2010-3549, CVE-2010-3550, CVE-2010-3551, CVE-2010-3552, CVE-2010-3553, CVE-2010-3554, CVE-2010-3555, CVE-2010-3556, CVE-2010-3557, CVE-2010-3558, CVE-2010-3559, CVE-2010-3560, CVE-2010-3561, CVE-2010-3562, CVE-2010-3563, CVE-2010-3565, CVE-2010-3566, CVE-2010-3567, CVE-2010-3568, CVE-2010-3569, CVE-2010-3570, CVE-2010-3571, CVE-2010-3572, CVE-2010-3573, CVE-2010-3574, CVE-2010-4180, CVE-2010-4422, CVE-2010-4447, CVE-2010-4448, CVE-2010-4450, CVE-2010-4451, CVE-2010-4452, CVE-2010-4454, CVE-2010-4462, CVE-2010-4463, CVE-2010-4465, CVE-2010-4466, CVE-2010-4467, CVE-2010-4468, CVE-2010-4469, CVE-2010-4470, CVE-2010-4471, CVE-2010-4472, CVE-2010-4473, CVE-2010-4474, CVE-2010-4475, CVE-2010-4476, CVE-2011-0002, CVE-2011-0802, CVE-2011-0814, CVE-2011-0815, CVE-2011-0862, CVE-2011-0864, CVE-2011-0865, CVE-2011-0867, CVE-2011-0871, CVE-2011-0873

BID: 40235, 40475, 42817, 43965, 43971, 43979, 43985, 43988, 43992, 43994, 43999, 44009, 44011, 44012, 44013, 44014, 44016, 44017, 44020, 44021, 44023, 44024, 44026, 44027, 44028, 44030, 44032, 44035, 44038, 44040, 45164, 45254, 45791, 46091, 46386, 46387, 46388, 46391, 46393, 46394, 46395, 46397, 46398, 46399, 46400, 46402, 46403, 46404, 46405, 46406, 46407, 46409, 46410, 46411, 48137, 48139, 48142, 48143, 48144, 48145, 48147, 48148, 48149

VMSA: 2011-0013