VMSA-2014-0012:VMware vSphere 产品更新解决了安全漏洞

medium Nessus 插件 ID 79762
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 VMware ESXi 主机缺少一个与安全有关的修补程序。

描述

a. VMware vCSA 跨站脚本漏洞

VMware vCenter Server Appliance (vCSA) 包含可能允许跨站脚本的漏洞。利用 vCenter Server 中的此漏洞需要诱骗用户点击恶意链接或打开恶意网页。

VMware 在此感谢 Trustwave SpiderLabs 的 Tanya Secker 向我们报告此问题。

通用漏洞和暴露计划 (cve.mitre.org) 已为此问题分配名称 CVE-2014-3797。

b. vCenter Server 证书验证问题

vCenter Server 在与 ESXi 主机上驻留的 CIM Server 建立连接时未正确验证所提供的证书。这可允许针对 CIM 服务的中间人攻击。

VMware 在此感谢 Google 安全团队向我们报告此问题。

通用漏洞和暴露计划 (cve.mitre.org) 已为此问题分配标识符 CVE-2014-8371。

c. ESXi libxml2 程序包的更新

libxml2 已更新,解决了多个安全问题。

通用漏洞和暴露计划 (cve.mitre.org) 已为这些问题分配了名称 CVE-2013-2877 和 CVE-2014-0191。

d. ESXi Curl 程序包的更新

Curl 已更新,解决了多个安全问题。

通用漏洞和暴露计划 (cve.mitre.org) 已为这些问题分配了名称 CVE-2014-0015 和 CVE-2014-0138。

e. ESXi Python 程序包的更新

Python 已更新,解决了多个安全问题。

通用漏洞和暴露计划 (cve.mitre.org) 已为这些问题分配了名称 CVE-2013-1752 和 CVE-2013-4238。

f. vCenter 和 Update Manager,Oracle JRE 1.6 Update 81

Oracle 在 2014 年 7 月的 Oracle Java SE 关键修补程序更新公告中记载了 JRE 1.6.0 update 81 中已解决的 CVE 标识符。“参考”部分提供了此公告的链接。

解决方案

请应用缺少的修补程序。

另见

http://lists.vmware.com/pipermail/security-announce/2015/000287.html

插件详情

严重性: Medium

ID: 79762

文件名: vmware_VMSA-2014-0012.nasl

版本: 1.12

类型: local

发布时间: 2014/12/6

最近更新时间: 2021/1/6

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:N

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: cpe:/o:vmware:esxi:5.1

必需的 KB 项: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

易利用性: No known exploits are available

补丁发布日期: 2014/12/4

参考资料信息

CVE: CVE-2013-1752, CVE-2013-2877, CVE-2013-4238, CVE-2014-0015, CVE-2014-0138, CVE-2014-0191, CVE-2014-3797, CVE-2014-8371

BID: 61050, 61738, 63804, 65270, 66457, 67233, 71492, 71493

VMSA: 2014-0012