vCenter Server 任意文件上传漏洞(CVE-2013-3080)


发布日期:2013-04-25
更新日期:2013-04-28

受影响系统:
VMWare vCenter Server 5.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 59509
 CVE(CAN) ID: CVE-2013-3080
 
VMware vCenter Server可以快速部署虚拟机,并监控物理服务器和虚拟机的性能,可通过单个界面部署、监控和管理虚拟化IT 环境,并确保最佳的服务级别。
 
vCenter Server Appliance VAMI Web接口存在安全漏洞,经过身份验证的远程攻击者可利用此漏洞上传文件到任意位置,创建新文件或覆盖旧文件。替换某些文件可造成拒绝服务或代码执行。在默认设置中,vCSA的身份验证局限于root,因为root是唯一的定义用户。
 
<*来源:vendor
 
  链接:http://secunia.com/advisories/53180/
        http://www.vmware.com/security/advisories/VMSA-2013-0006.html
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
VMWare
 ------
 VMWare已经为此发布了一个安全公告(VMSA-2013-0006)以及相应补丁:
 VMSA-2013-0006:VMware security updates for vCenter Server
 链接:http://www.vmware.com/security/advisories/VMSA-2013-0006.html
 
补丁下载:https://downloads.vmware.com/d/info/datacenter_cloud_infrastructure/vmware_vsphere/5_1
 
http://www.vmware.com/support/vsphere5/doc/vsphere-vcenter-server-51u1-release-notes.html

相关内容