VMware vSphere Update Manager Java 漏洞 (VMSA-2015-0003)
medium Nessus 插件 ID 83184
语言:
简介
远程主机安装有受到 Java Runtime Environment (JRE) 漏洞影响的更新管理器。描述
远程 Windows 主机上安装的 VMware vSphere Update Manager 版本是低于 Update 3d 的 5.0、低于 Update 3a 的 5.1、低于 Update 2e 的 5.5 或低于 6.0.0a 的 6.0。因此,它受到与 1.7.0_76 之前的 Oracle JRE 捆绑版本相关的漏洞影响。由于 SSL/TLS 握手时不正确的 ChangeCipherSpec 跟踪,JSSE 组件中存在缺陷。这可被中间人攻击者利用来造成建立未加密的连接。请注意,该应用程序以前名为 vCenter Update Manager。
解决方案
将 vSphere Update Manager 升级到 5.0 Update 3d / 5.1 Update 3a / 5.5 Update 2e / 6.0.0a 或更高版本。另见
https://www.vmware.com/security/advisories/VMSA-2015-0003.html
http://www.nessus.org/u?65907755
http://www.nessus.org/u?bfac928a
插件详情
严重性: Medium
ID: 83184
文件名: vmware_vcenter_update_mgr_vmsa-2015-0003.nasl
版本: 1.4
类型: local
代理: windows
系列: Windows
发布时间: 2015/5/1
最近更新时间: 2018/11/15
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.8
CVSS v2
风险因素: Medium
基本分数: 4
时间分数: 3.1
矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:N
漏洞信息
CPE: cpe:/a:vmware:vcenter_update_manager, cpe:/a:vmware:vsphere_update_manager
必需的 KB 项: installed_sw/VMware vCenter Update Manager
可利用: true
易利用性: Exploits are available
补丁发布日期: 2015/4/30
漏洞发布日期: 2015/1/20
参考资料信息
CVE: CVE-2014-6593
BID: 72169
VMSA: 2015-0003