vCenter Server AD匿名LDAP绑定证书绕过漏洞(CVE-2013-3107)
vCenter Server AD匿名LDAP绑定证书绕过漏洞(CVE-2013-3107)
发布日期:2013-04-25
更新日期:2013-04-27
受影响系统:
VMWare vCenter Server 5.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 59508
CVE(CAN) ID: CVE-2013-3107
VMware vCenter Server可以快速部署虚拟机,并监控物理服务器和虚拟机的性能,可通过单个界面部署、监控和管理虚拟化IT 环境,并确保最佳的服务级别。
vCenter Server Appliance如果使用开启了匿名LDAP绑定的AD,则会不正确处理登录凭证。在此部署环境中,通过设备的身份验证,只需要有效的用户名和空密码即可。攻击者可利用此漏洞绕过身份验证。
<*来源:vendor
链接:http://secunia.com/advisories/53180/
http://www.vmware.com/security/advisories/VMSA-2013-0006.html
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 禁用AD匿名LDAP绑定。
厂商补丁:
VMWare
------
VMWare已经为此发布了一个安全公告(VMSA-2013-0006)以及相应补丁:
VMSA-2013-0006:VMware security updates for vCenter Server
链接:http://www.vmware.com/security/advisories/VMSA-2013-0006.html
补丁下载:https://downloads.vmware.com/d/info/datacenter_cloud_infrastructure/vmware_vsphere/5_1
http://www.vmware.com/support/vsphere5/doc/vsphere-vcenter-server-51u1-release-notes.html
评论暂时关闭