2018-0009: VMware vSphere Data Protection: Mehrere Schwachstellen ermöglichen die komplette Kompromittierung des Systems
Historie:
- Version 1 (2018-01-03 11:46)
- Neues Advisory
Betroffene Software
Datensicherung
Virtualisierung
Betroffene Plattformen
VMware
Virtualisierung
Beschreibung:
In VMware vSphere Data Protection existieren mehrere vom Hersteller als kritisch bewertete Schwachstellen. Ein entfernter, nicht authentisierter Angreifer kann eine der Schwachstellen ausnutzen, um die Sicherheitsvorkehrung der Authentifizierung zu umgehen und in der Folge das betroffene System über das Erlangen von Root-Rechten komplett zu kompromittieren. Zwei weitere Schwachstellen ermöglichen einem entfernten, authentifizierten und niedrig privilegierten Benutzer, als Angreifer, die Manipulation von Dateien.
Workarounds zur Mitigation der Schwachstellen existieren nicht. Zu Behebung der Schwachstellen muss für die verwundbaren vSphere Data Protection (VDP) Versionen 6.0.x und 5.x die Version 6.0.7 als Sicherheitsupdate installiert werden. Für den VDP-Versionszweig 6.1.x steht die Version 6.1.6 als Sicherheitsupdate bereit.
Schwachstellen:
CVE-2017-15548
Schwachstelle in vSphere Data Protection ermöglicht Erlangen von Root-RechtenCVE-2017-15549
Schwachstelle in vSphere Data Protection ermöglicht Manipulation von DateienCVE-2017-15550
Schwachstelle in vSphere Data Protection ermöglicht Pfad-Traversierung
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.