CH azonosító
CH-14082Angol cím
VMware vSphere Data Protection (VDP) vulnerabilityFelfedezés dátuma
2017.06.05.Súlyosság
KritikusÉrintett rendszerek
VMwarevSphere Data Protection
Érintett verziók
VDP 6.1.x
VDP 6.0.x
VDP 5.8.x
VDP 5.5.x
Összefoglaló
A VMware vSphere Data Protection (VDP) két sérülékenysége látott napvilágot, amelyeket kihasználva tetszőleges parancs futtatható és jelszavak szerezhetőek meg.
Leírás
- A VDP Java hibáját kihasználva egy támadó tetszőleges kódot futtathat a rendszeren.
- A helyileg tárolt vCenter Server hitelesítő adatok visszafejthető titkosítást használnak, ezáltal könnyen hozzáférhetővé válnak.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen az alábbi verziókra:
VDP 6.1.4
VDP 6.0.5
Támadás típusa
Information disclosure (Információ/adat szivárgás)execute arbitrary code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Gyártói referencia: www.vmware.com
Egyéb referencia: securitytracker.com
CVE-2017-4914 - NVD CVE-2017-4914
CVE-2017-4917 - NVD CVE-2017-4917