VMSA-2013-0012:VMware vSphere 更新解决多种漏洞
high Nessus 插件 ID 70527
语言:
简介
远程 VMware ESXi / ESX 主机缺少与安全有关的修补程序。描述
a. VMware ESXi 和 ESX 在 hostd-vmdb 中包含一个漏洞。要利用此漏洞,攻击者必须拦截并修改管理流量。利用此问题可能导致 hostd-vmdb 服务的拒绝服务。
为降低被利用的可能性,vSphere 组件应部署在隔离的管理网络中。
VMware 在此感谢 Context Information Security 的 Alex Chapman 向我们报告此问题。
通用漏洞和暴露计划 (cve.mitre.org) 已为此问题分配名称 CVE-2013-5970。
b. VMware vSphere Web Client Server 会话固定漏洞 VMware vSphere Web Client Server 在会话 ID 的处理中包含一个漏洞。要利用此漏洞,攻击者必须知道经过认证的用户的有效会话 ID。利用此问题可能导致权限提升。
为降低被利用的可能性,vSphere 组件应部署在隔离的管理网络中。
VMware 在此感谢 DSecRG 的 Alexey Tyurin 向我们报告此问题。
通用漏洞和暴露计划 (cve.mitre.org) 已为此问题分配名称 CVE-2013-5971。
c. vCenter 和 Update Manager,Oracle JRE Update 1.6.0_51。
Oracle JRE 更新到版本 1.6.0_51,解决了较早的 Oracle JRE 版本中存在的多种安全问题。
Oracle 在 2013 年 6 月的 Oracle Java SE 关键修补程序更新公告中记载了 JRE 1.6.0_51 中已解决的 CVE 标识符。“参考”部分提供了此公告的链接。
解决方案
请应用缺少的修补程序。另见
http://lists.vmware.com/pipermail/security-announce/2014/000232.html
插件详情
严重性: High
ID: 70527
文件名: vmware_VMSA-2013-0012.nasl
版本: 1.25
类型: local
发布时间: 2013/10/20
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.5
CVSS v2
风险因素: High
基本分数: 7.1
时间分数: 5.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:C
漏洞信息
CPE: cpe:/o:vmware:esx:4.0, cpe:/o:vmware:esx:4.1, cpe:/o:vmware:esxi:4.0, cpe:/o:vmware:esxi:4.1, cpe:/o:vmware:esxi:5.0
必需的 KB 项: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version
易利用性: No known exploits are available
补丁发布日期: 2013/10/17
参考资料信息
CVE: CVE-2013-5970, CVE-2013-5971
VMSA: 2013-0012