VMSA-2014-0012：VMware vSphere 製品の更新で、セキュリティの脆弱性が対処されています

medium Nessus プラグイン ID 79762

Language:

概要

リモートの VMware ESXi ホストにセキュリティ関連のパッチがありません。

説明

a. VMware vCSA のクロスサイトスクリプティングの脆弱性

VMware vCenter Server Appliance（vCSA）に脆弱性があり、クロスサイトスクリプティングが引き起こされる可能性があります。vCenter Server でこの脆弱性を悪用するには、ユーザーを騙して、悪意のあるリンクをクリックさせるか、悪意のある Web ページを開かせる必要があります。

VMware は、この問題を報告してくれた Trustwave SpiderLabs の Tanya Secker 氏に感謝の意を表します。

Common Vulnerabilities and Exposures プロジェクト（cve.mitre.org）は、この問題に CVE-2014-3797 の識別名を割り当てています。

b. vCenter Server の証明書検証の問題

vCenter Server は、ESXi ホストにある CIM Server への接続を確立するときに、提示される証明書を適切に処理しません。これにより、CIM サービスに対して中間者攻撃が行われる可能性があります。

VMware は、この問題を弊社に報告してくれた Google セキュリティチームに感謝の意を表します。

Common Vulnerabilities and Exposures プロジェクト（cve.mitre.org）により、この問題に識別子 CVE-2014-8371 が割り当てられています。

c. ESXi libxml2 パッケージへ更新してください

複数のセキュリティ問題に対処するために、libxml2 が更新されました。

Common Vulnerabilities and Exposures プロジェクト（cve.mitre.org）が、この問題に対する名称として CVE-2013-2877 と CVE-2014-0191 を割り当てました。

d. ESXi Curl パッケージへ更新してください

複数のセキュリティ問題に対処するために、Curl が更新されました。

Common Vulnerabilities and Exposures プロジェクト（cve.mitre.org）が、この問題に対する名称として CVE-2014-0015 と CVE-2014-0138 を割り当てました。

e. ESXi Python パッケージへ更新してください。

複数のセキュリティ問題に対処するために、Python が更新されました。

Common Vulnerabilities and Exposures プロジェクト（cve.mitre.org）が、この問題に対する名称として CVE-2013-1752 と CVE-2013-4238 を割り当てました。

f. vCenter および Update Manager、Oracle JRE 1.6 Update 81

Oracle は、2014 年 7 月の Oracle Java SE 重要度最高パッチ更新アドバイザリの JRE 1.6.0 Update 81 で対処されている CVE 識別子について文書化しました。「参照」セクションに、このアドバイザリへのリンクが提供されています。