VMware vSphere Update Manager Java 漏洞 (VMSA-2015-0003)

medium Nessus 插件 ID 83184
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程主机安装有受到 Java Runtime Environment (JRE) 漏洞影响的更新管理器。

描述

远程 Windows 主机上安装的 VMware vSphere Update Manager 版本是低于 Update 3d 的 5.0、低于 Update 3a 的 5.1、低于 Update 2e 的 5.5 或低于 6.0.0a 的 6.0。因此,它受到与 1.7.0_76 之前的 Oracle JRE 捆绑版本相关的漏洞影响。由于 SSL/TLS 握手时不正确的 ChangeCipherSpec 跟踪,JSSE 组件中存在缺陷。这可被中间人攻击者利用来造成建立未加密的连接。

请注意,该应用程序以前名为 vCenter Update Manager。

解决方案

将 vSphere Update Manager 升级到 5.0 Update 3d / 5.1 Update 3a / 5.5 Update 2e / 6.0.0a 或更高版本。

另见

https://www.vmware.com/security/advisories/VMSA-2015-0003.html

http://www.nessus.org/u?65907755

http://www.nessus.org/u?bfac928a

http://www.nessus.org/u?227f6681

http://www.nessus.org/u?7c26cddb

插件详情

严重性: Medium

ID: 83184

文件名: vmware_vcenter_update_mgr_vmsa-2015-0003.nasl

版本: 1.4

类型: local

代理: windows

系列: Windows

发布时间: 2015/5/1

最近更新时间: 2018/11/15

依存关系: vmware_vcenter_update_mgr_installed.nasl

风险信息

VPR

风险因素: Medium

分数: 4.8

CVSS v2

风险因素: Medium

基本分数: 4

时间分数: 3.1

矢量: AV:N/AC:H/Au:N/C:P/I:P/A:N

时间矢量: E:POC/RL:OF/RC:C

漏洞信息

CPE: cpe:/a:vmware:vcenter_update_manager, cpe:/a:vmware:vsphere_update_manager

必需的 KB 项: installed_sw/VMware vCenter Update Manager

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/4/30

漏洞发布日期: 2015/1/20

参考资料信息

CVE: CVE-2014-6593

BID: 72169

VMSA: 2015-0003