Kurzinfo CB-K18/0003

5 Risiko: sehr hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: VMware vSphere Data Protection: Mehrere Schwachstellen ermöglichen die komplette Kompromittierung des Systems
Datum: 03.01.2018
Software: VMware vSphere Data Protection 5.x, VMware vSphere Data Protection < 6.0.7, VMware vSphere Data Protection 6.0.x, VMware vSphere Data Protection < 6.1.6, VMware vSphere Data Protection 6.1.x
Plattform: VMware vCenter Server, VMware vSphere Client, VMware vSphere Server
Auswirkung: Erlangen von Administratorrechten
Remoteangriff: Ja
Risiko: sehr hoch
CVE Liste: CVE-2017-15548, CVE-2017-15549, CVE-2017-15550
Bezug: VMware Security Advisories VMSA-2018-0001
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

VMware vSphere Data Protection basiert auf der EMC Avamar Backup und Restore Software und ist in die Verwaltung von vSphere integriert. Das gilt sowohl für den vSphere Web Client, wie auch für den vCenter Server.

In VMware vSphere Data Protection existieren mehrere vom Hersteller als kritisch bewertete Schwachstellen. Ein entfernter, nicht authentisierter Angreifer kann eine der Schwachstellen ausnutzen, um die Sicherheitsvorkehrung der Authentifizierung zu umgehen und in der Folge das betroffene System über das Erlangen von Root-Rechten komplett zu kompromittieren. Zwei weitere Schwachstellen ermöglichen einem entfernten, authentifizierten und niedrig privilegierten Benutzer, als Angreifer, die Manipulation von Dateien. Workarounds zur Mitigation der Schwachstellen existieren nicht. Zu Behebung der Schwachstellen muss für die verwundbaren vSphere Data Protection (VDP) Versionen 6.0.x und 5.x die Version 6.0.7 als Sicherheitsupdate installiert werden. Für den VDP-Versionszweig 6.1.x steht die Version 6.1.6 als Sicherheitsupdate bereit.

  1. VMware Security Advisories VMSA-2018-0001

  2. Schwachstelle CVE-2017-15548 (NVD)

  3. Schwachstelle CVE-2017-15549 (NVD)

  4. Schwachstelle CVE-2017-15550 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.