VMSA-2016-0001:VMware ESXi、Workstation、Player、および Fusion の更新は、重要なゲスト権限昇格の脆弱性に対処します。

medium Nessus プラグイン ID 87889

概要

リモートの VMware ESXi ホストにセキュリティ関連のパッチがありません。

説明

VMware Tools での重要な Windows ベースのゲスト権限昇格

カーネルメモリ破損の脆弱性が、Microsoft Windows で動作する VMware Tools の「共有フォルダ」(HGFS)機能に存在します。この問題の悪用に成功すると、ゲストオペレーティングシステムの権限の昇格につながる可能性があります。

VMware では、この問題を当社に報告していただいた Secunia Research Team の Dmitry Janushkevich 氏に感謝の意を表します。

注意:この脆弱性は、ゲストオペレーティングシステムからホストへの権限昇格を許しません。この欠陥を悪用しても、ホストメモリは、ゲストオペレーティングシステムから操作できません。

Common Vulnerabilities and Exposures プロジェクト(cve.mitre.org)により、この問題に識別子 CVE-2015-6933 が割り当てられています。

以前インストールされていた VMware Tools からの「共有フォルダ」(HGFS)を削除する回避策により、悪用の可能性が除去されます。

ソリューション

欠落しているパッチを適用してください。

参考資料

http://lists.vmware.com/pipermail/security-announce/2016/000316.html

プラグインの詳細

深刻度: Medium

ID: 87889

ファイル名: vmware_VMSA-2016-0001.nasl

バージョン: 1.17

タイプ: local

公開日: 2016/1/13

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.4

CVSS v2

リスクファクター: Medium

Base Score: 6.5

Temporal Score: 4.8

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS v3

リスクファクター: Medium

Base Score: 6.3

Temporal Score: 5.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:vmware:esxi:5.0, cpe:/o:vmware:esxi:5.1, cpe:/o:vmware:esxi:5.5, cpe:/o:vmware:esxi:6.0

必要な KB アイテム: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/1/7

参照情報

CVE: CVE-2015-6933

VMSA: 2016-0001