漏洞起因
输入验证错误
危险等级
低
影响系统
VMWare VirtualCenter 2.5
VMWare vCenter 4.1
VMWare vCenter 4.0
不受影响系统
VMWare VirtualCenter 2.5 Update 6a
VMWare vCenter 4.1 Update 1
VMWare vCenter 4.0 Update 3
危害
远程攻击者可以利用漏洞获得系统文件信息或管理员ID信息。
攻击所需条件
攻击者必须访问VMware vCenter Server。
漏洞信息
VMware vCenter Server可以快速部署虚拟机,并监控物理服务器和虚拟机的性能,可通过单个界面部署、监控和管理虚拟化IT 环境,并确保最佳的服务级别。
-未明组件存在一个输入验证错误,攻击者可以通过目录遍历攻击获得系统任意文件信息(CVE-2011-0426)。
安装在Windows 2008或Windows 2008 R2的应用程序不受此漏洞影响。
-部分日志文件不安全存储SOAP会话ID,可导致泄露管理员用户的ID敏感信息。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.vmware.com/security/advisories/VMSA-2011-0008.html
漏洞提供者
VMWare
0 条评论。