VMware vCenter Converter 5.1.x < 5.1.2 / 5.5.x < 5.5.3 複数の脆弱性（VMSA-2014-0010）（Shellshock）

critical Nessus プラグイン ID 79147

Language:

概要

リモートホストに、複数の脆弱性の影響を受けるアプリケーションがインストールされています。

説明

リモートの Windows ホストにインストールされている VMware vCenter Converter のバージョンは、5.1.2 より前の 5.1.x または 5.5.3 より前の 5.5.x です。したがって、次の脆弱性の影響を受けます。

- GNU Bash に Shellshock として知られるコマンドインジェクションの脆弱性があります。これは、環境変数の値における関数定義後の末尾文字列の処理によるものです。これにより、リモートの攻撃者が、システムの構成に応じて、環境変数の操作を通じて任意のコードを実行する可能性があります。このホストは Shellshock による影響を直接受けませんが、スタンドアロンの Converter アプリケーションは、Linux P2V の変換中に、Helper VM を展開します。この Helper VM には、脆弱なバージョンの Bash が含まれています。
(CVE-2014-6271, CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, CVE-2014-7187)

- 「d1_both.c」に、DTLSパケットの処理に関連するメモリ二重解放のエラーが存在するため、サービス拒否攻撃のおそれがあります。（CVE-2014-3505）

- 「d1_both.c」に、DTLSハンドシェイクメッセージの処理に関連する未特定のエラーが存在するため、大量のメモリ消費によるサービス拒否攻撃のおそれがあります。（CVE-2014-3506）

- 「d1_both.c」に、特別に作り上げられたDTLSパケットの処理に関連するメモリ漏洩エラーが存在するため、サービス拒否攻撃のおそれがあります。（CVE-2014-3507）

- 匿名のECDH暗号パッケージおよび作り上げられたハンドシェイクメッセージの処理に関連するNULLポインターデリファレンスエラーが存在することにより、クライアントに対してサービス拒否攻撃を実行できます。（CVE-2014-3510）