VMware VIX API VM Direct Access funkció biztonsági hibája

CH azonosító

CH-14162

Angol cím

VMware VIX API VM Direct Access Function security issue

Felfedezés dátuma

2017.07.26.

Súlyosság

Közepes

Érintett rendszerek

VMware
vCenter Server

Érintett verziók

vCenter Server 5.5, 6.0, 6.5

Összefoglaló

A VMware vCenter Server sérülékenységét jelentették, amelyet kihasználva egy korlátozott jogosultságokkal rendelkező, hitelesített vSphere felhasználó direkt módon, további hitelesítés nélkül hozzáférhet egy vendég operációs rendszerhez.

Leírás

A VMware VIX API direkt hozzáférést biztosít a vendég operációs rendszerhez, amelyet jellemzően a VMware Site Recovery Manager, VMware Update Manager és a VMware Infrastructure Navigator használ.

Ez a funkció elérhető limitált jogosultságokkal bíró vSphere felhasználók számára is, ha az alábbi jogokkal rendelkeznek:

  • Virtual Machine -> Configuration -> Advanced            
  • Virtual Machine -> Interaction ->Guest Operating System Management by VIX API                   
  • Host -> Configuration -> Advanced Settings

Megoldás

Alkalmazza a gyártó által közzétett megkerülő megoldást:

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2151027