VMSA-2014-0008:针对第三方库的 VMware vSphere 产品更新

high Nessus 插件 ID 77630

简介

远程 VMware ESXi 主机缺少一个与安全有关的修补程序。

描述

a. vCenter Server Apache Struts 更新

Apache Struts 库已更新,解决了一个安全问题。

此问题可能导致认证后远程代码执行。

通用漏洞和暴露计划 (cve.mitre.org) 已为此问题分配标识符 CVE-2014-0114。


b. vCenter Server tc-server 2.9.5 / Apache Tomcat 7.0.52 更新

tc-server 已更新到版本 2.9.5,解决了多个安全问题。此版本的 tc-server 包括 Apache Tomcat 7.0.52。

通用漏洞和暴露计划 (cve.mitre.org) 已为这些问题分配了标识符 CVE-2013-4590、CVE-2013-4322 和 CVE-2014-0050。

c. ESXi glibc 程序包的更新

glibc 已更新,解决了多个安全问题。

通用漏洞和暴露计划 (cve.mitre.org) 已为这些问题分配了标识符 CVE-2013-0242 和 CVE-2013-1914。

d. vCenter 和 Update Manager,Oracle JRE 1.7 Update 55

Oracle 在 2014 年 4 月的 Oracle Java SE 关键修补程序更新公告中记载了 JRE 1.7.0 update 55 中已解决的 CVE 标识符。“参考”部分提供了此公告的链接。

解决方案

请应用缺少的修补程序。

另见

http://lists.vmware.com/pipermail/security-announce/2014/000282.html

插件详情

严重性: High

ID: 77630

文件名: vmware_VMSA-2014-0008.nasl

版本: 1.30

类型: local

发布时间: 2014/9/11

最近更新时间: 2021/1/6

风险信息

VPR

风险因素: Critical

分数: 9.4

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.2

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:F/RL:OF/RC:C

漏洞信息

CPE: cpe:/o:vmware:esxi:5.1, cpe:/o:vmware:esxi:5.5

必需的 KB 项: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/9/9

可利用的方式

Metasploit (Apache Struts ClassLoader Manipulation Remote Code Execution)

参考资料信息

CVE: CVE-2013-0242, CVE-2013-1914, CVE-2013-4322, CVE-2013-4590, CVE-2014-0050, CVE-2014-0114

BID: 57638, 58839, 63676, 64493, 65400, 65568, 65767, 65768, 66856, 66866, 66870, 66873, 66877, 66879, 66881, 66883, 66886, 66887, 66891, 66893, 66894, 66897, 66898, 66899, 66902, 66903, 66904, 66905, 66907, 66908, 66909, 66910, 66911, 66912, 66913, 66914, 66915, 66916, 66917, 66918, 66919, 66920, 67121

VMSA: 2014-0008