DFN-CERT-2014-0303 VMware vSphere: Schwachstellen in Third Party Libraries [VMware]

DFN-CERT-2014-0303 VMware vSphere: Schwachstellen in Third Party Libraries [VMware]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

GNU glibc <= 2.18 NTP <= 4.2.7 Oracle JRE < 1.7.0 Update 45 Betroffene Plattformen: VMware vCenter Server <= 5.5 VMware vCenter Server Appliance <= 5.5 Vcenter Update Manager <= 5.5 VMware ESXi <= 5.5 In mehreren Third Party Libraries existierten Schwachstellen, welche nun für verschiedene VMware Produkte behoben wurden: a) In NTP ermöglicht der Missbrauch des "monlist"-Kommandos einem entfernten, nicht authentifizierten Angreifer durch Fälschen der Absenderadresse einen Denial-of-Service-Angriff durchzuführen. Aufgrund der Relation von kleiner Anfrage (ein UDP Paket) zu sehr großer Antwort (max. 600 IP-Adressen) wird von einem Verstärker (Amplifier)-Angriff gesprochen. Das Feature wird seit Dezember 2013 aktiv für DDoS-Angriffe ausgenutzt (CVE-2013-5211). Für die Produktversionen 5.5 wird die Installation der folgenden Updates bzw. Patches empfohlen: i) vCenter Server Appliance 5.5 Update 1, ii) VMware ESXi 5.5 patch ESXi550-201403101-SG. b) In der Funktion malloc/malloc.c der GNU C Bibliothek (glibc) existierten mehrere Integer-Überlauf-Schwachstellen, die es, kontextabhängig, einem entfernten, nicht authentisierten Angreifer ermöglichen, mittels eines großen Übergabewertes bei der Anforderung und Zuordnung von Speicher einen Denial-of-Service-Zustand (heap corruption) herbeizuführen (CVE-2013-4332). Für das Produkt VMware ESXi 5.5 wird die Installation des Patches ESXi550-201403101-SG empfohlen. c) Mehrere Schwachstellen existierten für Java JRE 1.7.0, die von Oracle mit dem Update auf Version JRE 1.7 Update 45 behoben wurden (siehe Oracle Java SE Critical Patch Update Advisory of October 2013). Für die Produktversionen 5.5 wird die Installation der folgenden Updates empfohlen: i) vCenter Server Appliance 5.5 Update 1, ii) VMware Update Manager 5.5 Update 1. Workaround: Wenn ein Update nicht möglich ist, kann im Falle der NTP-Schwachstelle zur Vermeidung eines Angriffs auch die Option "noquery" in der Konfigurationsdatei gesetzt werden, welche nach einem Neustart dieses Dienstes wirksam wird und eine Verarbeitung der Anfrage unterbindet. Patch: VMware Security Advisory VMSA-2014-0002 http://www.vmware.com/security/advisories/VMSA-2014-0002.html

CVE-2013-5211: Missbrauch des monlist Features in NTP

Das monlist Feature in NTP sendet als Antwort auf die Anfragen
REQ_MON_GETLIST oder REQ_MON_GETLIST_1, eine Liste der letzten 600 Hosts,
die den NTP Host kontaktiert haben, an den anfragenden Host.

CVE-2013-4332: Drei Integer-Überläufe in der glibc

Es existieren drei Integer-Überläufe bei der Anforderung und Zuordnung von
Speicher über die glibc, über die keine weiteren Informationen bekannt sind.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0303/

Schwachstelle CVE-2013-4332 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4332

Schwachstelle CVE-2013-5211 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5211

VMware Security Advisory VMSA-2014-0002:
http://www.vmware.com/security/advisories/VMSA-2014-0002.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben