Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/11/2018
Vulnerabilitats en vSphere Data Protection VDP de VMWare
S'han publicat diverses vulnerabilitats d'execució remota de codi, redireccionamient obert, injecció de comandaments i exposició d'informació que afecten vSphere Data Protection (VDP).Un atacant remot no autenticat podria executar comandaments arbitraris en el servidor. S'ha reservat l'identificador CVE-2018-11066 per a aquesta vulnerabilitat.
Una vulnerabilitat de redireccionament obert podria permetre a un atacant remot no autenticat redirigir als usuaris de l'aplicació a URL arbitraris, enganyant als usuaris perquè facen clic en enllaços maliciosos sense saber-ho (phishing). S'ha reservat l'identificador CVE-2018-11067 per a aquesta vulnerabilitat.
Una vulnerabilitat d'injecció de comandaments en el sistema operatiu de la utilitat de solució de problemes getlogs podria permetre a un atacant amb permisos d'administrador executar comandaments arbitraris amb privilegis d’arrel. S'ha reservat l'identificador CVE-2018-11076 per a aquesta vulnerabilitat.
La clau privada SSL/TLS de la consola d'administració Java de VDP pot filtrar-se en el paquet client de gestió Java de VDP, la qual cosa podria permetre a un autenticat en la mateixa capa d'enllaç de dades dur a terme un atac MITM (man-in-the-middle) contra els usuaris de la consola de gestió i provocar una exposició d'informació. S'ha reservat l'identificador CVE-2018-11077 per a aquesta vulnerabilitat.
- vSphere Data Protection (VDP) 6.1.9 i anteriors
- vSphere Data Protection (VDP) 6.0.8 i anteriors
CVE-2018-11066, CVE-2018-11067, CVE-2018-11076, CVE-2018-11077
Solució:Reemplaçar o aplicar el pegat corresponent en funció del producte i versió:
- vSphere Data Protection (VDP) 6.1.10
- vSphere Data Protection (VDP) 6.0.9