VMSA-2014-0004:VMware 製品の更新により、OpenSSL のセキュリティの脆弱性に対処します

high Nessus プラグイン ID 73851
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート VMware ESXi ホストに、1つ以上のセキュリティ関連のパッチがありません。

説明

OpenSSL のサードパーティライブラリ内の情報漏洩の脆弱性

OpenSSL ライブラリはバージョン openssl-1.0.1g に更新され、複数のセキュリティ問題が解決されました。
Common Vulnerabilities and Exposures プロジェクト(cve.mitre.org)が、この問題に対する名称として CVE-2014-0076 と CVE-2014-0160 を割り当てました。

CVE-2014-0160 は、ハートブリード問題として知られています。この問題の詳細については、参照セクションを参照してください。

更新されたバージョンまたは利用可能なパッチがある製品の問題を修正するために、これらの手順を実行します。

* VMware 製品の更新または製品パッチを展開します
* 製品仕様の各ドキュメントの証明書を置き換えます
* 製品仕様の各ドキュメントのパスワードをリセットします

セクション 4 は、製品仕様の参照を管理ドキュメントのインストール指示書および証明書へリストアップします。

ソリューション

欠落しているパッチを適用してください。

関連情報

http://lists.vmware.com/pipermail/security-announce/2014/000244.html

プラグインの詳細

深刻度: High

ID: 73851

ファイル名: vmware_VMSA-2014-0004.nasl

バージョン: 1.5

タイプ: local

公開日: 2014/5/3

更新日: 2021/1/6

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: High

スコア: 7.5

CVSS v2

リスクファクター: High

Base Score: 9.4

Temporal Score: 7.8

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:N

現状ベクトル: E:F/RL:OF/RC:C

脆弱性情報

CPE: cpe:/o:vmware:esxi:5.5, cpe:/o:vmware:esxi:5.5

必要な KB アイテム: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/4/14

エクスプロイト可能

Core Impact

Metasploit (OpenSSL Heartbeat (Heartbleed) Information Leak)

参照情報

CVE: CVE-2014-0076, CVE-2014-0160

BID: 66690

VMSA: 2014-0004