VMware VDP虚拟机备份平台漏洞 CVE-2017-4914 CVE-2017-4917 绿盟科技发布威胁通告

VMWare发布安全通告VMSA-2017-0010，通告称vSphere Data Protection (VDP)出现多个漏洞，包括Java反序列化问题CVE-2017-4914  本地保存可逆凭据问题CVE-2017-4917。官方已经发布解决方案，用户需要尽快确认。绿盟科技12日发布安全威胁通告。

VDP Java反序列化问题

vdp 包含反序列化问题。利用此问题可能会使远程攻击者在设备上执行命令。vmware 感谢NTT安全公司的  Tim Roberts, Arthur Chilipweli, and Kelly Correll提报的这个问题。

常见的漏洞和暴露项目 (cve.mitre.org) 已将标识符 CVE-2017-4914 分配给此问题。下表列出了在每个版本中修补漏洞所需的操作 (如果有可用的解决方案)。

vdp 本地存储 vCenter 服务器凭据

vdp 本地存储使用可逆加密的 vCenter 服务器凭据。此问题可能允许获得明文凭据。vmware 希望感谢HvS-Consulting 咨询公司的Ströbel aka phroxvs , 向 vmware 报告此问题。

常见的漏洞和暴露项目 (cve.mitre.org) 已将标识符 CVE-2017-4917 分配给此问题。下表列出了在每个版本中修补漏洞所需的操作 (如果有可用的解决方案)。

解决方案

请在如下页面查找对应产品的补丁及更新 

vSphere Data Protection (VDP) 6.1.4  下载及文档

https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP614 
https://www.vmware.com/support/pubs/vdr_pubs.html

vSphere Data Protection (VDP) 6.0.5  下载及文档

https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP60_5 
https://www.vmware.com/support/pubs/vdr_pubs.html 

VMware vSphere Data Protection (VDP)安全漏洞 CVE-2017-4914，CVE-2017-4917 安全威胁通告

绿盟科技在12日已经发布安全威胁通告，通告全文如下

近日，官方发布通告，披露了个存在于的漏洞：反序列化漏洞（），攻击者可以通过该漏洞远程执行任意代码；本地存储服务器凭据漏洞（），本地存储的凭据采取的加密方式可逆，攻击者可能获取明文的凭据。官方已经发布了相关升级补丁修复了该漏洞。

参考链接：

https://www.vmware.com/us/security/advisories/VMSA-2017-0010.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4914

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4917

受影响的版本

• vSphere Data Protection (VDP) version 6.1.x < 6.1.4
• vSphere Data Protection (VDP)version 6.0.x < 6.0.5
• vSphere Data Protection (VDP)version 5.8.x
• vSphere Data Protection (VDP)version 5.5.x

不受影响的版本

• vSphere Data Protection (VDP)version 6.1.4
• vSphere Data Protection (VDP)version 6.0.5

规避方案

官方已经发布了相关的新版本，请受影响的用户根据自己的软件版本选择更新升级来防护该漏洞：

• 使用VDP 6.1.x的用户请升级至：
  • vSphere Data Protection version (VDP) 6.1.4
  • https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP614
• 使用VDP 6.0.x, 5.8.x, 5.5.x的用户请升级至：
  • vSphere Data Protection version (VDP) 6.0.5
  • https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP60_5

详情请参考：https://www.vmware.com/support/pubs/vdr_pubs.html

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

原文发布时间：2017年6月12日

本文由：安全加发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/vmware-vdp-cve-2017-4914-cve-2017-4917

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站