VMware vSphere Update Manager Java 漏洞 (VMSA-2015-0003)

medium Nessus 插件 ID 83184
全新!漏洞优先级评级 (VPR)

Tenable 测算每个漏洞的动态 VPR。VPR 将漏洞信息与威胁情报和机器学习算法相结合,预测哪些漏洞最有可能在攻击中被利用。了解详细信息: VPR 的定义及其与 CVSS 的区别。

VPR 得分: 4.8

简介

远程主机安装有受到 Java Runtime Environment (JRE) 漏洞影响的更新管理器。

描述

远程 Windows 主机上安装的 VMware vSphere Update Manager 版本是低于 Update 3d 的 5.0、低于 Update 3a 的 5.1、低于 Update 2e 的 5.5 或低于 6.0.0a 的 6.0。因此,它受到与 1.7.0_76 之前的 Oracle JRE 捆绑版本相关的漏洞影响。由于 SSL/TLS 握手时不正确的 ChangeCipherSpec 跟踪,JSSE 组件中存在缺陷。这可被中间人攻击者利用来造成建立未加密的连接。

请注意,该应用程序以前名为 vCenter Update Manager。

解决方案

将 vSphere Update Manager 升级到 5.0 Update 3d / 5.1 Update 3a / 5.5 Update 2e / 6.0.0a 或更高版本。

另见

https://www.vmware.com/security/advisories/VMSA-2015-0003.html

http://www.nessus.org/u?65907755

http://www.nessus.org/u?bfac928a

http://www.nessus.org/u?227f6681

http://www.nessus.org/u?7c26cddb

插件详情

严重性: Medium

ID: 83184

文件名: vmware_vcenter_update_mgr_vmsa-2015-0003.nasl

版本: 1.4

类型: local

代理: windows

系列: Windows

发布时间: 2015/5/1

最近更新时间: 2018/11/15

依存关系: vmware_vcenter_update_mgr_installed.nasl

风险信息

风险因素: Medium

VPR 得分: 4.8

CVSS v2.0

基本分数: 4

时间分数: 3.1

矢量: AV:N/AC:H/Au:N/C:P/I:P/A:N

时间矢量: E:POC/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:vmware:vcenter_update_manager, cpe:/a:vmware:vsphere_update_manager

必需的 KB 项: installed_sw/VMware vCenter Update Manager

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/4/30

漏洞发布日期: 2015/1/20

参考资料信息

CVE: CVE-2014-6593

BID: 72169

VMSA: 2015-0003