政府電腦保安事故協調中心 - 保安警報 (A18-01-01): VMware vSphere Data Protection 多個漏洞

描述:

VMware 發布了一個安全更新，以應對於 VMware vSphere Data Protection (VDP) 5.x, 6.0.x, 6.1.x 版本中發現的多個漏洞。攻擊者可在啟動 VDP 系統上遙距攻擊這個漏洞。

受影響的系統:

VMware vSphere Data Protection 5.x, 6.0.x, 6.1.x

影響:

成功利用這些漏洞可在受影響的系統上導致繞過認證、權限提升、未經授權造訪路徑(Path Traversal)或未經授權上載檔案。

建議:

供應商已在其網站上發行了新版本以應對以上問題。用戶可從以下網址下載：

vSphere Data Protection (VDP) 6.0.7
https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP60_7
vSphere Data Protection (VDP) 6.1.6
https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP616

系統管理員可聯絡其產品支援供應商，以取得修補程式及有關支援。

進一步資訊:

https://www.vmware.com/security/advisories/VMSA-2018-0001.html
https://docs.vmware.com/en/VMware-vSphere/6.0/rn/data-protection-607-release-notes.html
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/data-protection-616-release-notes.html
https://www.us-cert.gov/ncas/current-activity/2018/01/02/VMware-Releases-Security-Updates
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15548
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15549
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15550

標籤 : VMware , vSphere , VDP