検出

VMSA-2013-0001:認証サービスおよびサードパーティライブラリのための VMware vSphere のセキュリティ更新

critical Nessus プラグイン ID 64642

Language:

概要

VMware ESXi / ESX リモートホストに、1 つまたは複数のセキュリティ関連のパッチがありません。

説明

a. VMware vSphere のクライアント側の認証のメモリ破損の脆弱性

VMware vCenter Server、vSphere Client、および ESX では、管理認証プロトコルの処理に脆弱性が存在します。この脆弱性を悪用するには、攻撃者が vCenter Server、vSphere Client、または ESX のいずれかを騙して、クライアントとして、悪意のあるサーバーと相互作用させる必要があります。この問題の悪用は、クライアントシステム上でコードの実行を引き起こす可能性があります。
 類似の悪用を削減するために、vSphere コンポーネントは孤立した管理ネットワークに展開するべきです。
 Common Vulnerabilities and Exposures Project(cve.mitre.org)は、この問題に CVE-2013-1405 を割り当てています。

b. ESX/ESXi libxml2 userworld およびサービスコンソールへの更新

ESX/ESXi userworld libxml2 ライブラリは、複数のセキュリティ問題を解決するために更新されました。また、ESX サービスコンソールの libxml2 パッケージが以下のバージョンに更新されています:

libxml2-2.6.26-2.1.15.el5_8.5 libxml2-python-2.6.26-2.1.15.el5_8.5

これらの更新で、複数のセキュリティ問題が修正されます。Common Vulnerabilities and Exposures プロジェクト(cve.mitre.org)が、この問題に対する名称として CVE-2011-3102 と CVE-2012-2807 を割り当てました。

c. ESX サービスコンソールの bind パッケージへの更新

ESX サービスコンソールの bind パッケージが以下のバージョンに更新されます:

bind-libs-9.3.6-20.P1.el5_8.2 bind-utils-9.3.6-20.P1.el5_8.2

これらの更新で、セキュリティ問題が修正されます。Common Vulnerabilities and Exposures プロジェクト(cve.mitre.org)は、この問題に CVE-2012-4244 の識別名を割り当てています。

d. ESX サービスコンソールの libxslt パッケージへの更新

ESX サービスコンソールの libxslt パッケージは、複数のセキュリティ問題を解決するためにバージョン libxslt-1.1.17-4.el5_8.3 に更新されています。

Common Vulnerabilities and Exposures プロジェクト(cve.mitre.org)により、これらの問題に CVE-2011-1202、CVE-2011-3970、 CVE-2012-2825、CVE-2012-2870、CVE-2012-2871 という名前が割り当てられています。

ソリューション

欠落しているパッチを適用してください。

参考資料

http://lists.vmware.com/pipermail/security-announce/2013/000215.html

プラグインの詳細

深刻度: Critical

ID: 64642

ファイル名: vmware_VMSA-2013-0001.nasl

バージョン: 1.33

タイプ: local

公開日: 2013/2/16

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: cpe:/o:vmware:esx:3.5, cpe:/o:vmware:esx:4.0, cpe:/o:vmware:esx:4.1, cpe:/o:vmware:esxi:3.5, cpe:/o:vmware:esxi:4.0, cpe:/o:vmware:esxi:4.1, cpe:/o:vmware:esxi:5.0, cpe:/o:vmware:esxi:5.1

必要な KB アイテム: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/1/31

参照情報

CVE: CVE-2011-1202, CVE-2011-3102, CVE-2011-3970, CVE-2012-2807, CVE-2012-2825, CVE-2012-2870, CVE-2012-2871, CVE-2012-4244, CVE-2013-1405

BID: 47668, 51911, 53540, 54203, 54718, 55331, 55522, 57666

VMSA: 2013-0001