VMSA-2014-0008:针对第三方库的 VMware vSphere 产品更新
high Nessus 插件 ID 77630
语言:
简介
远程 VMware ESXi 主机缺少一个与安全有关的修补程序。描述
a. vCenter Server Apache Struts 更新Apache Struts 库已更新,解决了一个安全问题。
此问题可能导致认证后远程代码执行。
通用漏洞和暴露计划 (cve.mitre.org) 已为此问题分配标识符 CVE-2014-0114。
b. vCenter Server tc-server 2.9.5 / Apache Tomcat 7.0.52 更新
tc-server 已更新到版本 2.9.5,解决了多个安全问题。此版本的 tc-server 包括 Apache Tomcat 7.0.52。
通用漏洞和暴露计划 (cve.mitre.org) 已为这些问题分配了标识符 CVE-2013-4590、CVE-2013-4322 和 CVE-2014-0050。
c. ESXi glibc 程序包的更新
glibc 已更新,解决了多个安全问题。
通用漏洞和暴露计划 (cve.mitre.org) 已为这些问题分配了标识符 CVE-2013-0242 和 CVE-2013-1914。
d. vCenter 和 Update Manager,Oracle JRE 1.7 Update 55
Oracle 在 2014 年 4 月的 Oracle Java SE 关键修补程序更新公告中记载了 JRE 1.7.0 update 55 中已解决的 CVE 标识符。“参考”部分提供了此公告的链接。
解决方案
请应用缺少的修补程序。另见
http://lists.vmware.com/pipermail/security-announce/2014/000282.html
插件详情
严重性: High
ID: 77630
文件名: vmware_VMSA-2014-0008.nasl
版本: 1.30
类型: local
发布时间: 2014/9/11
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Critical
分数: 9.5
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.2
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: cpe:/o:vmware:esxi:5.1, cpe:/o:vmware:esxi:5.5
必需的 KB 项: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version
可利用: true
易利用性: Exploits are available
补丁发布日期: 2014/9/9
可利用的方式
Metasploit (Apache Struts ClassLoader Manipulation Remote Code Execution)
参考资料信息
CVE: CVE-2013-0242, CVE-2013-1914, CVE-2013-4322, CVE-2013-4590, CVE-2014-0050, CVE-2014-0114
BID: 57638, 58839, 63676, 64493, 65400, 65568, 65767, 65768, 66856, 66866, 66870, 66873, 66877, 66879, 66881, 66883, 66886, 66887, 66891, 66893, 66894, 66897, 66898, 66899, 66902, 66903, 66904, 66905, 66907, 66908, 66909, 66910, 66911, 66912, 66913, 66914, 66915, 66916, 66917, 66918, 66919, 66920, 67121
VMSA: 2014-0008