AI 助理
备案控制台
开发者社区 安全 文章 正文

VMware VDP虚拟机备份平台漏洞 CVE-2017-4914 CVE-2017-4917 绿盟科技发布威胁通告

2017-09-01 1815
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

VMWare发布安全通告VMSA-2017-0010,通告称vSphere Data Protection (VDP)出现多个漏洞,包括Java反序列化问题CVE-2017-4914  本地保存可逆凭据问题CVE-2017-4917。官方已经发布解决方案,用户需要尽快确认。绿盟科技12日发布安全威胁通告。

VDP Java反序列化问题

vdp 包含反序列化问题。利用此问题可能会使远程攻击者在设备上执行命令。vmware 感谢NTT安全公司的  Tim Roberts, Arthur Chilipweli, and Kelly Correll提报的这个问题。

常见的漏洞和暴露项目 (cve.mitre.org) 已将标识符 CVE-2017-4914 分配给此问题。下表列出了在每个版本中修补漏洞所需的操作 (如果有可用的解决方案)。

VDP%20Java%20deserialization%20issue.png

vdp 本地存储 vCenter 服务器凭据

vdp 本地存储使用可逆加密的 vCenter 服务器凭据。此问题可能允许获得明文凭据。vmware 希望感谢HvS-Consulting 咨询公司的Ströbel aka phroxvs , 向 vmware 报告此问题。

常见的漏洞和暴露项目 (cve.mitre.org) 已将标识符 CVE-2017-4917 分配给此问题。下表列出了在每个版本中修补漏洞所需的操作 (如果有可用的解决方案)。

VDP%20locally%20stores%20vCenter%20Serve

解决方案

请在如下页面查找对应产品的补丁及更新 

vSphere Data Protection (VDP) 6.1.4  下载及文档

https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP614 
https://www.vmware.com/support/pubs/vdr_pubs.html


vSphere Data Protection (VDP) 6.0.5  下载及文档

https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP60_5 
https://www.vmware.com/support/pubs/vdr_pubs.html 

VMware vSphere Data Protection (VDP)安全漏洞 CVE-2017-4914,CVE-2017-4917 安全威胁通告

绿盟科技在12日已经发布安全威胁通告,通告全文如下

近日,官方发布通告,披露了个存在于的漏洞:反序列化漏洞(),攻击者可以通过该漏洞远程执行任意代码;本地存储服务器凭据漏洞(),本地存储的凭据采取的加密方式可逆,攻击者可能获取明文的凭据。官方已经发布了相关升级补丁修复了该漏洞。

参考链接:

https://www.vmware.com/us/security/advisories/VMSA-2017-0010.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4914

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4917

受影响的版本

  • vSphere Data Protection (VDP) version 6.1.x < 6.1.4
  • vSphere Data Protection (VDP)version 6.0.x < 6.0.5
  • vSphere Data Protection (VDP)version 5.8.x
  • vSphere Data Protection (VDP)version 5.5.x

不受影响的版本

  • vSphere Data Protection (VDP)version 6.1.4
  • vSphere Data Protection (VDP)version 6.0.5

规避方案

官方已经发布了相关的新版本,请受影响的用户根据自己的软件版本选择更新升级来防护该漏洞:

  • 使用VDP 6.1.x的用户请升级至:
    • vSphere Data Protection version (VDP) 6.1.4
    • https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP614
  • 使用VDP 6.0.x, 5.8.x, 5.5.x的用户请升级至:
    • vSphere Data Protection version (VDP) 6.0.5
    • https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP60_5

详情请参考:https://www.vmware.com/support/pubs/vdr_pubs.html

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。


原文发布时间:2017年6月12日

本文由:安全加发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/vmware-vdp-cve-2017-4914-cve-2017-4917

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

文章标签:
云虚拟主机
安全
数据安全/隐私保护
Web App开发
存储
虚拟化
关键词:
vmware虚拟机
vmware云虚拟主机
云虚拟主机VMware
vmware平台
vmware虚拟机备份
晚来风急
目录
相关文章
weixin_836869520
|
29天前
|
Unix Linux 虚拟化
虚拟机VMware知识积累
虚拟机VMware知识积累
weixin_836869520
40 0
1436047922066202
|
3天前
|
存储 SQL 运维
服务器数据恢复—Isilon存储误删除vmware虚拟机的数据恢复案例
Isilon存储使用的是分布式文件系统OneFS。在Isilon存储集群里面每个节点均为单一的OneFS文件系统,所以Isilon存储在进行横向扩展的同时不会影响数据的正常使用。Isilon存储集群所有节点提供相同的功能,节点与节点之间没有主备之分。当用户向Isilon存储集群中存储文件时,OneFS文件系统层面将文件划分为128K的片段分别存放到不同的节点中,而节点层面将128K的片段分成8K的小片段分别存放到节点的不同硬盘中。用户文件的Indoe信息、目录项及数据MAP则会分别存储在所有节点中,这样可以确保用户不管从哪个节点都可以访问到所有数据。Isilon存储在初始化时会让用户选择相应的
1436047922066202
35 12
清风飞扬666
|
2天前
|
存储 Linux 虚拟化
入职必会-开发环境搭建32-VMware虚拟机下载和安装
VMware虚拟机是一种基于VMware虚拟化技术的软件解决方案,它可以在一台物理计算机上创建多个独立的虚拟计算机环境。这些虚拟机可以运行不同的操作系统,如Windows、Linux等,使用户能够在单台计算机上同时运行多个操作系统。
清风飞扬666
12 0
入职必会-开发环境搭建32-VMware虚拟机下载和安装
z4ehnjvw64j64
|
17天前
|
运维 安全 虚拟化
SCVMM(System Center Virtual Machine Manager)与VMware
介绍scvmm和vmware
z4ehnjvw64j64
88 12
清风飞扬666
|
2天前
|
安全 Linux 数据安全/隐私保护
入职必会-开发环境搭建33-VMWare虚拟机安装Linux系统
CentOS(Community ENTerprise Operating System)是一个基于Linux的开源操作系统,它是由社区志愿者团队从Red Hat Enterprise Linux(RHEL)源代码重新编译而成。CentOS致力于提供一个稳定、可靠且免费的企业级Linux发行版,适用于服务器和工作站环境。
清风飞扬666
12 0
今天是几号
|
1月前
|
存储 IDE 开发工具
【读书笔记】 玩转虚拟机基于Vmware+Windows 虚拟化技术
【读书笔记】 玩转虚拟机基于Vmware+Windows 虚拟化技术
今天是几号
38 2
半夜敲代码的夜猫子
|
1月前
|
虚拟化 UED
vmware-17虚拟机安装教程(保姆级,包含图文讲解,不需注册账户)
vmware-17虚拟机安装教程(保姆级,包含图文讲解,不需注册账户)
半夜敲代码的夜猫子
150 1
爱你三千遍斯塔克
|
21天前
|
Linux 虚拟化
部署04-ncpa.cpl 虚拟机介绍,什么是虚拟机,怎样使用虚拟机,安装VMWARE,WorkStation,VMWARE这款软件是收费软件,可以在一个月期间进行使用,成功看VMWARE高级网络设置
部署04-ncpa.cpl 虚拟机介绍,什么是虚拟机,怎样使用虚拟机,安装VMWARE,WorkStation,VMWARE这款软件是收费软件,可以在一个月期间进行使用,成功看VMWARE高级网络设置
爱你三千遍斯塔克
17 0
泡沫o0
|
2月前
|
算法 虚拟化 C++
VMware虚拟机无法自适应和拖拽复制粘贴和共享目录问题
VMware虚拟机无法自适应和拖拽复制粘贴和共享目录问题
泡沫o0
284 0
1436047922066202
|
2月前
|
存储 SQL 数据挖掘
服务器数据恢复—误删除VMware虚拟机vmdk文件的数据恢复案例
服务器数据恢复环境: 某大厂PS4000服务器,服务器上部署VMware ESXi虚拟化平台。 服务器故障: 机房断电,重启后服务器中的某台虚拟机不能正常启动。管理员查看虚拟机配置文件,发现无法启动的虚拟机的配置文件除了磁盘文件以外其他配置文件全部丢失,xxx-flat.vmdk磁盘文件和xxx-000001-delta.vmdk快照文件还存在。联系VMware原厂工程师进行诊断,VMware原厂工程师尝试新建一个虚拟机,但发现存储空间不足,于是将故障虚拟机下的xxx-flat.vmdk磁盘文件删除了。VMware工程师重新建了一个虚拟机,分配了固定大小的虚拟磁盘,为虚拟机安装了Window
1436047922066202
194 5
服务器数据恢复—误删除VMware虚拟机vmdk文件的数据恢复案例

热门文章

最新文章

  • 1
    在win7主机上为你的linux虚拟机配置ntp服务
  • 2
    给KVM虚拟机增加硬盘
  • 3
    第十五单元 系统虚拟机管理
  • 4
    通过virt工具安装管理KVM虚拟机
  • 5
    关于虚拟机的脚本编写
  • 6
    Xen虚拟机的创建和启动
  • 7
    继之前SCVMM WinRM问题后重新添加群集后Windows Azure Pack创建虚拟机失败
  • 8
    KVM虚拟机测试CEPH健康报 OSD near full
  • 9
    虚拟机评估——如何确定一个CPU核上部署的虚拟机数量?
  • 10
    如何确定Windows Server 2012中虚拟机的动态内存可用大小
  • 1
    VMware保姆级安装教程-VMware Workstation Pro 16(Windows10)
    314
  • 2
    【qemu虚拟化】将img镜像文件转换为VMware虚拟机
    1099
  • 3
    VMware 安装华三CAS云平台过程
    266
  • 4
    【VMware】WIN11/WIN11家庭版禁用Device Guard
    277
  • 5
    VMware虚拟机无法自适应和拖拽复制粘贴和共享目录问题
    284
  • 6
    【VMware安装+centos 7Linux系统+MySQL安装】——在Linux系统中安装MySQL步骤,以及遇见的各种问题(如:vm两个虚拟网卡消失、vm网络适配器有感叹号等等)
    321
  • 7
    vmware虚拟机运行ubuntu等卡慢的解决办法
    685
  • 8
    使用Xshell连接VMware上的Linux虚拟机
    68
  • 9
    vmware克隆虚拟机后没有ip地址的问题
    141
  • 10
    VMware中安装Windows Server 2012系统
    238

    • 相关课程

    更多
  • Java 虚拟机原理
  • 互联网安全-移动APP漏洞风险与解决方案

    • 相关电子书

    更多
  • 基于英特尔 SSD 的虚拟机缓存解决SSD
  • 从加固讲APK瘦身
  • 内存取证与IaaS云平台恶意行为的安全监控
    • 下一篇
    通义千问API入门教程