DFN-CERT-2017-0976 VMware vSphere Data Protection: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebiger Befehle [VMware]

DFN-CERT-2017-0976 VMware vSphere Data Protection: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebiger Befehle [VMware]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

VMware vSphere Data Protection 5.5.x
VMware vSphere Data Protection 5.8.x
VMware vSphere Data Protection < 6.0.5 VMware vSphere Data Protection 6.0.x VMware vSphere Data Protection < 6.1.4 VMware vSphere Data Protection 6.1.x Betroffene Plattformen: vSphere Server Zwei als kritisch eingestufte Schwachstellen in VMware vSphere Data Protection (VDP) ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebiger Befehle und einem lokalen, nicht authentisierten Angreifer das Ausspähen von Anmeldeinformationen. Der Hersteller bestätigt die Schwachstellen für VMware vSphere Data Protection 5.5.x, 5.8.x, 6.0.x und 6.1.x stellt zu deren Behebung die VMware vSphere Data Protection Versionen 6.0.5 und 6.1.4 als Sicherheitsupdates zur Verfügung. Patch: VMware Security Advisories VMSA-2017-0010 http://www.vmware.com/security/advisories/VMSA-2017-0010.html

CVE-2017-4917: Schwachstelle in VMware vSphere Data Protection ermöglicht
Ausspähen von Informationen

In VMware vSphere Data Protection (VDP) existiert eine Schwachstelle, weil
die Anmeldeinformationen für vCenter Server mit einer umkehrbaren
Verschlüsselung lokal gespeichert werden. Ein lokaler, nicht authentisierter
Angreifer kann durch Ausnutzen der Schwachstelle an Anmeldeinformationen
gelangen.

CVE-2017-4914: Schwachstelle in VMware vSphere Data Protection ermöglicht
Ausführung beliebiger Befehle

Eine nicht näher beschriebene Schwachstelle in VMware vSphere Data
Protection (VDP), die im Zusammenhang mit der Deserialisierung von Daten
steht, ermöglicht einem entfernten, nicht authentisierten Angreifer
beliebige Befehle auf einem betroffenen Gerät auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0976/

VMware Security Advisories VMSA-2017-0010:
http://www.vmware.com/security/advisories/VMSA-2017-0010.html

Schwachstelle CVE-2017-4914 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-4914

Schwachstelle CVE-2017-4917 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-4917

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben