VMSA-2015-0001：VMware vCenter Server、ESXi、Workstation、Player、および Fusion の更新は、セキュリティ問題に対処します（POODLE）

low Nessus プラグイン ID 81079

Language:

概要

リモート VMware ESXi ホストに、１つ以上のセキュリティ関連のパッチがありません。

説明

a. VMware ESXi、Workstation、Player、および Fusion のホスト権限昇格の脆弱性

VMware ESXi、Workstation、Player および Fusion には、任意のファイル書き込みの問題があります。この問題を悪用することで、ホスト上で権限昇格が行われる可能性があります。

この脆弱性は、ゲストオペレーティングシステムからホスト、あるいはその逆などへの権限昇格を可能にしません。つまり、ホストメモリが Guest Operating System から操作される可能性はありません。

緩和

影響を受ける ESXi では、ESXi（またはそれを管理する vCenter Server）に仮想マシン管理者ロールまたはそれ以上の権限が与えられた可能性があります。

VMware は、この問題を報告していただいた Shanon Olsson 氏に感謝の意を表します。

Common Vulnerabilities and Exposures プロジェクト（cve.mitre.org）により、この問題に識別子 CVE-2014-8370 が割り当てられています。

b. VMware Workstation、Player、および Fusion のサービス拒否の脆弱性

VMware Workstation、Player、および Fusion では、Host Guest File System（HGFS）に入力検証の問題があります。
この問題は、ゲストオペレーティングシステムのサービス拒否を引き起こす可能性があります。

VMware は、この問題を弊社に報告していただいた Digital Security の Peter Kamensky 氏に感謝の意を表します。

Common Vulnerabilities and Exposures プロジェクト（cve.mitre.org）により、この問題に識別子 CVE-2015-1043 が割り当てられています。

c. VMware ESXi、Workstation、および Player のサービス拒否の脆弱性

VMware ESXi、Workstation、および Player には、VMware 認証プロセス（vmware-authd）に入力検証の問題があります。
この問題は、ホストのサービス拒否を引き起こす可能性があります。Linux で実行されている VMware ESXi および Workstation では、サービス拒否は部分的になると考えられます。

VMware は、HP の Zero Day イニシアチブを通じてこの問題を弊社に報告していただいた Dmitry Yudin @ret5et に感謝の意を表します。

Common Vulnerabilities and Exposures プロジェクト（cve.mitre.org）により、この問題に識別子 CVE-2015-1044 が割り当てられています。

d. VMware vCenter Server、OpenSSL 1.0.1 および 0.9.8 パッケージ用の ESXi に更新してください。

OpenSSL ライブラリはバージョン 1.0.1j または 0.9.8zc に更新され、複数のセキュリティ問題が解決されました。

Common Vulnerabilities and Exposures プロジェクト（cve.mitre.org）により、これらの問題に CVE-2014-3513、CVE-2014-3567、CVE-2014-3566（ìPOODLEî）、および CVE-2014-3568 という名前が割り当てられています。

e. ESXi libxml2 パッケージへ更新してください

libxml2 ライブラリはバージョン libxml2-2.7.6-17 に更新され、1 つのセキュリティ問題が解決されました。

Common Vulnerabilities and Exposures プロジェクト（cve.mitre.org）は、この問題に CVE-2014-3660 の識別名を割り当てています。