VMSA-2014-0012:VMware vSphere 产品更新解决了安全漏洞
medium Nessus 插件 ID 79762
语言:
简介
远程 VMware ESXi 主机缺少一个与安全有关的修补程序。描述
a. VMware vCSA 跨站脚本漏洞VMware vCenter Server Appliance (vCSA) 包含可能允许跨站脚本的漏洞。利用 vCenter Server 中的此漏洞需要诱骗用户点击恶意链接或打开恶意网页。
VMware 在此感谢 Trustwave SpiderLabs 的 Tanya Secker 向我们报告此问题。
通用漏洞和暴露计划 (cve.mitre.org) 已为此问题分配名称 CVE-2014-3797。
b. vCenter Server 证书验证问题
vCenter Server 在与 ESXi 主机上驻留的 CIM Server 建立连接时未正确验证所提供的证书。这可允许针对 CIM 服务的中间人攻击。
VMware 在此感谢 Google 安全团队向我们报告此问题。
通用漏洞和暴露计划 (cve.mitre.org) 已为此问题分配标识符 CVE-2014-8371。
c. ESXi libxml2 程序包的更新
libxml2 已更新,解决了多个安全问题。
通用漏洞和暴露计划 (cve.mitre.org) 已为这些问题分配了名称 CVE-2013-2877 和 CVE-2014-0191。
d. ESXi Curl 程序包的更新
Curl 已更新,解决了多个安全问题。
通用漏洞和暴露计划 (cve.mitre.org) 已为这些问题分配了名称 CVE-2014-0015 和 CVE-2014-0138。
e. ESXi Python 程序包的更新
Python 已更新,解决了多个安全问题。
通用漏洞和暴露计划 (cve.mitre.org) 已为这些问题分配了名称 CVE-2013-1752 和 CVE-2013-4238。
f. vCenter 和 Update Manager,Oracle JRE 1.6 Update 81
Oracle 在 2014 年 7 月的 Oracle Java SE 关键修补程序更新公告中记载了 JRE 1.6.0 update 81 中已解决的 CVE 标识符。“参考”部分提供了此公告的链接。
解决方案
请应用缺少的修补程序。另见
http://lists.vmware.com/pipermail/security-announce/2015/000287.html
插件详情
严重性: Medium
ID: 79762
文件名: vmware_VMSA-2014-0012.nasl
版本: 1.12
类型: local
发布时间: 2014/12/6
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 4.2
CVSS v2
风险因素: Medium
基本分数: 6.4
时间分数: 4.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
漏洞信息
CPE: cpe:/o:vmware:esxi:5.1
必需的 KB 项: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version
易利用性: No known exploits are available
补丁发布日期: 2014/12/4
参考资料信息
CVE: CVE-2013-1752, CVE-2013-2877, CVE-2013-4238, CVE-2014-0015, CVE-2014-0138, CVE-2014-0191, CVE-2014-3797, CVE-2014-8371
BID: 61050, 61738, 63804, 65270, 66457, 67233, 71492, 71493
VMSA: 2014-0012