2014-1184: VMware vSphere: Schwachstellen in Third Party Bibliotheken ermöglichen verschiedene Angriffe

Historie:

Version 1 (2014-09-10 17:37)

Neues Advisory

Version 2 (2014-11-24 16:29)

VMware stellt mit VMware vCenter Server 5.0 Update 3c nun auch ein Patch-Update für die Produktversion 5.0 zur Verfügung.

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

VMware
Virtualisierung

Beschreibung:

In mehreren Third Party Bibliotheken existierten Schwachstellen, welche nun für verschiedene VMware Produkte behoben wurden:

a) Zwei Schwachstellen in Apache Struts ermöglichen einem entfernten, nicht authentifizierten Angreifer, beliebigen Code zur Ausführung zu bringen oder einen Denial-of-Service-Zustand auszulösen.

Für die Produktversion 5.5 wird die Installation der folgenden Updates bzw. Patches empfohlen:
i) vCenter Server Appliance 5.5 Update 2,

b) Zwei Schwachstellen in Apache Tomcat ermöglichen einem entfernten, nicht authentifizierten Angreifer, "Tomcat-interne"-Information auszuspähen oder einen Denial-of-Service-Zustand herbeizuführen.

Für die Produktversion 5.5 wird die Installation der folgenden Updates bzw. Patches empfohlen:
i) vCenter Server Appliance 5.5 Update 2,

c) Zwei Schwachstellen in der glibc ermöglichen entfernten Angreifern, Denial-of-Service-Angriffe durchzuführen.

Für das Produkt VMware ESXi 5.5 wird die Installation des Patches ESXi550-201409101-SG empfohlen.

d) Mehrere Schwachstellen existierten für Java JRE 1.7.0, die von Oracle mit dem Update auf Version JRE 1.7 Update 55 behoben wurden (siehe Oracle Java SE Critical Patch Update Advisory of April 2014).

Für die Produktversionen 5.5 wird die Installation der folgenden Updates empfohlen:
i) vCenter Server Appliance 5.5 Update 2,
ii) VMware Update Manager 5.5 Update 2.

Schwachstellen:

CVE-2013-0242

Schwachstelle in glibc bei der Verarbeitung von regulären Ausdrücken

CVE-2013-1914

Schwachstelle in der Funktion getaddrinfo() der glibc

CVE-2013-4322

Apache Tomcat: Schwachstelle ermöglicht DoS

CVE-2013-4590

Schwachstelle in Apache Tomcat erlaubt Ausspähen von Information

CVE-2014-0050

Schwachstelle in Apache Commons FileUpload ermöglicht DoS

CVE-2014-0114

Schwachstelle in Apache Struts ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.