VMSA-2014-0012:VMware vSphere 製品の更新で、セキュリティの脆弱性が対処されています

medium Nessus プラグイン ID 79762
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートの VMware ESXi ホストにセキュリティ関連のパッチがありません。

説明

a. VMware vCSA のクロスサイトスクリプティングの脆弱性

VMware vCenter Server Appliance(vCSA)に脆弱性があり、クロスサイトスクリプティングが引き起こされる可能性があります。vCenter Server でこの脆弱性を悪用するには、ユーザーを騙して、悪意のあるリンクをクリックさせるか、悪意のある Web ページを開かせる必要があります。

VMware は、この問題を報告してくれた Trustwave SpiderLabs の Tanya Secker 氏に感謝の意を表します。

Common Vulnerabilities and Exposures プロジェクト(cve.mitre.org)は、この問題に CVE-2014-3797 の識別名を割り当てています。

b. vCenter Server の証明書検証の問題

vCenter Server は、ESXi ホストにある CIM Server への接続を確立するときに、提示される証明書を適切に処理しません。これにより、CIM サービスに対して中間者攻撃が行われる可能性があります。

VMware は、この問題を弊社に報告してくれた Google セキュリティチームに感謝の意を表します。

Common Vulnerabilities and Exposures プロジェクト(cve.mitre.org)により、この問題に識別子 CVE-2014-8371 が割り当てられています。

c. ESXi libxml2 パッケージへ更新してください

複数のセキュリティ問題に対処するために、libxml2 が更新されました。

Common Vulnerabilities and Exposures プロジェクト(cve.mitre.org)が、この問題に対する名称として CVE-2013-2877 と CVE-2014-0191 を割り当てました。

d. ESXi Curl パッケージへ更新してください

複数のセキュリティ問題に対処するために、Curl が更新されました。

Common Vulnerabilities and Exposures プロジェクト(cve.mitre.org)が、この問題に対する名称として CVE-2014-0015 と CVE-2014-0138 を割り当てました。

e. ESXi Python パッケージへ更新してください。

複数のセキュリティ問題に対処するために、Python が更新されました。

Common Vulnerabilities and Exposures プロジェクト(cve.mitre.org)が、この問題に対する名称として CVE-2013-1752 と CVE-2013-4238 を割り当てました。

f. vCenter および Update Manager、Oracle JRE 1.6 Update 81

Oracle は、2014 年 7 月の Oracle Java SE 重要度最高パッチ更新アドバイザリの JRE 1.6.0 Update 81 で対処されている CVE 識別子について文書化しました。「参照」セクションに、このアドバイザリへのリンクが提供されています。

ソリューション

欠落しているパッチを適用してください。

関連情報

http://lists.vmware.com/pipermail/security-announce/2015/000287.html

プラグインの詳細

深刻度: Medium

ID: 79762

ファイル名: vmware_VMSA-2014-0012.nasl

バージョン: 1.12

タイプ: local

公開日: 2014/12/6

更新日: 2021/1/6

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: Medium

Base Score: 6.4

Temporal Score: 4.7

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:N

現状ベクトル: E:U/RL:OF/RC:C

脆弱性情報

CPE: cpe:/o:vmware:esxi:5.1

必要な KB アイテム: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/12/4

参照情報

CVE: CVE-2013-1752, CVE-2013-2877, CVE-2013-4238, CVE-2014-0015, CVE-2014-0138, CVE-2014-0191, CVE-2014-3797, CVE-2014-8371

BID: 61050, 61738, 63804, 65270, 66457, 67233, 71492, 71493

VMSA: 2014-0012