CH azonosító
CH-13727Angol cím
VMware vCenter Server, vRealize Automation, vSphere Client & Server (XXE and DoS) vulnerabilitiesFelfedezés dátuma
2016.11.21.Súlyosság
MagasÉrintett rendszerek
VMwareÉrintett verziók
VMWare vCenter Server 5.5, 6.0
VMWare vSphere Client 5.5, 6.0
VMWare vRealize Automation 6.x
Összefoglaló
A VMWare termékek magas kockázati besorolású sérülékenységei lehetővé teszik a támadó számára, hogy érzékeny információkat szerezzen a rendszerről, valamint szolgáltatásmegtagadásra ad lehetőséget.
Leírás
A vSphere Client XML External Entity (XXE) sérülékenységének kihasználásához a támadó a vSphere Client felhasználót ráveszi egy kártékony vCenter Server vagy ESXi példányhoz való csatlakozásra.
A vCenter Server a Log Browser, a Distributed Switch setup és a Content Library komponensben tartalmaz XML External Entity (XXE) sérülékenységet.
A vCenter Server és a vRealize Automation a Single Sign-On funkciójában jelentettek további XML External Entity (XXE) sérülékenységet.
Megoldás
Telepítse a javítócsomagokatMegoldás
VMWare vSphere Client 6.0 frissítése 6.0 U2a verzióra
VMWare vSphere Client 5.5 frissítése 5.5 U3e verzióra
VMWare vSphere Server 6.0 frissítése 6.0 U2a verzióra
VMWare vSphere Server 5.5 frissítése 5.5 U3e verzióra
VMWare vCenter Server 6.0 frissítése 6.0 U2e verzióra
VMWare vCenter Server 5.5 frissítése 5.5 U3e verzióra
VMWare vRealize Automation 6.x frissítése 6.2.5 verzióra
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: securitytracker.com
Egyéb referencia: securitytracker.com
Egyéb referencia: securitytracker.com
Gyártói referencia: www.vmware.com
CVE-2016-7458 - NVD CVE-2016-7458
CVE-2016-7459 - NVD CVE-2016-7459
CVE-2016-7460 - NVD CVE-2016-7460