VMware ESXi の複数の OpenSSL の脆弱性(VMSA-2014-0004)(ハートブリード)

medium Nessus プラグイン ID 87676
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートの VMware ESXiホストにセキュリティ関連のパッチがありません。

説明

リモートの VMware ESXi ホストは OpenSSL サードパーティライブラリにおける複数の脆弱性の影響を受けます。

- 特定のスワップ操作が一定時間の動作を保証されないことが原因となり、楕円曲線デジタル署名アルゴリズム(ECDSA)に欠陥が存在します。攻撃者がこれを悪用して、FLUSH+RELOAD キャッシュサイドチャネル攻撃を仕掛けて ECDSA nonce を取得する可能性があります。(CVE-2014-0076)

- TLS/DTLS の実装に、領域外の読み取りエラー(別名「ハートブリードバグ」)が存在します。これは、TLS ハートビート拡張パケットを不適切に処理しているためです。リモートの攻撃者は、細工したパケットを利用して、バッファオーバーリードを誘発することで、主キーや二次キーの素材などの保護されたコンテンツのような機密情報を含む、最大 64KB のプロセスメモリを漏洩する可能性があります。(CVE-2014-0160)

ソリューション

ESXi バージョン 5.5 / 5.5 U1 に関連するベンダーアドバイザリに基づき、適切なパッチを適用してください。場合によっては、このパッチを適用した後に、追加的な修正手順を行う必要があります。

関連情報

https://www.vmware.com/security/advisories/VMSA-2014-0004

http://lists.vmware.com/pipermail/security-announce/2014/000244.html

http://www.heartbleed.com

http://eprint.iacr.org/2014/140

http://www.openssl.org/news/vulnerabilities.html#2014-0160

プラグインの詳細

深刻度: Medium

ID: 87676

ファイル名: vmware_VMSA-2014-0004_remote.nasl

バージョン: 1.8

タイプ: remote

ファミリー: Misc.

公開日: 2015/12/30

更新日: 2021/5/24

依存関係: vmware_vsphere_detect.nbin

リスク情報

CVSS スコアのソース: CVE-2014-0160

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 4.1

ベクトル: AV:N/AC:L/Au:N/C:P/I:N/A:N

現状ベクトル: E:F/RL:OF/RC:C

脆弱性情報

CPE: cpe:/o:vmware:esxi:5.5

必要な KB アイテム: Host/VMware/version, Host/VMware/release

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/4/23

脆弱性公開日: 2014/2/24

エクスプロイト可能

Core Impact

参照情報

CVE: CVE-2014-0076, CVE-2014-0160

BID: 66363, 66690

VMSA: 2014-0004

CERT: 720951

EDB-ID: 32745, 32764, 32791, 32998