VMware ESXi 多种漏洞 (VMSA-2014-0012)

medium Nessus 插件 ID 87681

语言：

简介

远程 VMware ESXi 主机缺少一个与安全有关的修补程序。

描述

远程 VMware ESXi 主机受到多种漏洞的影响：

- Python 库 httplib 的函数 _read_status() 中以及库 smtplib、ftplib、nntplib、imaplib 和 poplib 的函数 readline() 中存在多种拒绝服务漏洞。远程攻击者可利用这些漏洞导致模块崩溃。
(CVE-2013-1752)

- 由于未正确检查 XML_PARSER_EOF 状态，库 libxml2 的文件 parser.c 中存在越界读取错误。未经认证的远程攻击者可利用此错误，通过突然结束构建文档造成拒绝服务。
(CVE-2013-2877)

- 由于未正确处理 X.509 证书的“主题备用名称”字段的域名中的空字符 ('\0')，ssl.match_hostname() 函数的 Python SSL 模块中存在欺骗漏洞。中间人攻击者可利用此漏洞通过由合法证书颁发机构颁发的构建证书欺骗任意 SSL 服务器。
(CVE-2013-4238)

- 只要启用了多个认证方法，cURL 和 libcurl 就会受到与重复使用 NTLM 连接相关的缺陷的影响。未经认证的远程攻击者可利用此缺陷通过构建的请求连接并冒充其他用户。(CVE-2014-0015)

- cURL 和 libcurl 中的默认配置重复使用 SCP、SFTP、POP3、POP3S、IMAP、IMAPS、SMTP、SMTPS、LDAP 和 LDAPS 连接。未经认证的远程攻击者可利用此缺陷通过构建的请求连接并冒充其他用户。(CVE-2014-0138)

- 不论是否启用实体替换或验证，由于加载外部实体，libxml2 的文件 parser.c 的 xmlParserHandlePEReference() 函数中存在缺陷。未经认证的远程攻击者可利用此缺陷，通过构建的 XML 文档耗尽资源，从而导致拒绝服务。
(CVE-2014-0191)