VMware VDP虚拟机备份平台漏洞 CVE-2017-4914 CVE-2017-4917 绿盟科技发布威胁通告
VMWare发布安全通告VMSA-2017-0010,通告称vSphere Data Protection (VDP)出现多个漏洞,包括Java反序列化问题CVE-2017-4914 本地保存可逆凭据问题CVE-2017-4917。官方已经发布解决方案,用户需要尽快确认。绿盟科技12日发布安全威胁通告。
VDP Java反序列化问题vdp 包含反序列化问题。利用此问题可能会使远程攻击者在设备上执行命令。vmware 感谢NTT安全公司的 Tim Roberts, Arthur Chilipweli, and Kelly Correll提报的这个问题。
常见的漏洞和暴露项目 (cve.mitre.org) 已将标识符 CVE-2017-4914 分配给此问题。下表列出了在每个版本中修补漏洞所需的操作 (如果有可用的解决方案)。
vdp 本地存储使用可逆加密的 vCenter 服务器凭据。此问题可能允许获得明文凭据。vmware 希望感谢HvS-Consulting 咨询公司的Ströbel aka phroxvs , 向 vmware 报告此问题。
常见的漏洞和暴露项目 (cve.mitre.org) 已将标识符 CVE-2017-4917 分配给此问题。下表列出了在每个版本中修补漏洞所需的操作 (如果有可用的解决方案)。
请在如下页面查找对应产品的补丁及更新
vSphere Data Protection (VDP) 6.1.4 下载及文档
https://my.vmware.com/group/vmware/details?productId=491 downloadGroup=VDP614
https://www.vmware.com/support/pubs/vdr_pubs.html
vSphere Data Protection (VDP) 6.0.5 下载及文档
https://my.vmware.com/group/vmware/details?productId=491 downloadGroup=VDP60_5
https://www.vmware.com/support/pubs/vdr_pubs.html
绿盟科技在12日已经发布安全威胁通告,通告全文如下
近日,官方发布通告,披露了个存在于的漏洞:反序列化漏洞(),攻击者可以通过该漏洞远程执行任意代码;本地存储服务器凭据漏洞(),本地存储的凭据采取的加密方式可逆,攻击者可能获取明文的凭据。官方已经发布了相关升级补丁修复了该漏洞。
参考链接:
https://www.vmware.com/us/security/advisories/VMSA-2017-0010.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4914
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4917
受影响的版本 vSphere Data Protection (VDP) version 6.1.x 6.1.4 vSphere Data Protection (VDP)version 6.0.x 6.0.5 vSphere Data Protection (VDP)version 5.8.x vSphere Data Protection (VDP)version 5.5.x 不受影响的版本 vSphere Data Protection (VDP)version 6.1.4 vSphere Data Protection (VDP)version 6.0.5官方已经发布了相关的新版本,请受影响的用户根据自己的软件版本选择更新升级来防护该漏洞:
使用VDP 6.1.x的用户请升级至: vSphere Data Protection version (VDP) 6.1.4 https://my.vmware.com/group/vmware/details?productId=491 downloadGroup=VDP614vSphere Data Protection version (VDP) 6.0.5 https://my.vmware.com/group/vmware/details?productId=491 downloadGroup=VDP60_5
绿盟科技声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
原文发布时间:2017年6月12日
本文由:安全加发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/vmware-vdp-cve-2017-4914-cve-2017-4917
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
windows使用vmware安装三台虚拟机,配置好网络环境 - VMWare虚拟机软件是一个“虚拟[PC](https://baike.baidu.com/item/PC/107)”软件,它使你可以在一台机器上同时运行多个系统。 - 可以通过Vmware来安装我们的linux虚拟机,然后通过linux虚拟机来进行集群的安装。Vmware的安装步骤省略。只要点击安装之后,一路下一步即
相关文章
- 无线网络渗透测试系列学习(二) - 在VMware中搭建Metasploit靶机的详细步骤以及端口的简单了解
- VMware workstation 无法连接到虚拟机
- 私有云选型评估:OpenStack vs VMware
- 通过VNC Viewer使用VMware虚拟机的远程桌面连接
- 【问题】Debian安装、配置sources.list、安装VMware Tools
- VMware、Citrix和Microsoft虚拟化技术详解与应用实践
- VMworld 2016:VMware放出大招,混合云该这么做
- ubuntu安装wmwaretools教程以及显示 unable to execute "usr/bin/vmware-uninstall-tools.pl"解决办法
- vmware因为软件出过一次复制的错误导致不能复制到主机的解决方法
- 虚拟化的蜕变 VMware全面发力云计算
- 【一生一芯】Chap.1 “一生一芯”实验环境配置| VMware安装Ubuntu20.04 | PA工程配置 | 解决llvm版本问题
- 虚拟化VMware简介9——网络 I/O 控制 (NIOC) 简介
- VMware 虚拟化编程(11) — VMware 虚拟机的全量备份与增量备份方案