受影响系统:
VMWare ESX Server 2.5.2
VMWare ESX Server 2.5
VMWare ESX Server 2.1.2
VMWare ESX Server 2.1.1
VMWare ESX Server 2.1
VMWare ESX Server 2.0.2
VMWare ESX Server 2.0.1 build 6403
VMWare ESX Server 2.0.1
VMWare ESX Server 2.0 build 5257
VMWare ESX Server 2.0
不受影响系统:
VMWare ESX Server 2.5.3 Patch 2
VMWare ESX Server 2.5.2 Patch 4
VMWare ESX Server 2.1.3 Patch 1
VMWare ESX Server 2.0.2 Patch 1
描述:
VMware ESX Server是一个适用于任何系统环境的企业级虚拟计算机软件。
VMware ESX Server的管理界面使用了两个Cookies(vmware.mui.kid和vmware.mui.sid)中的会话ID。会话ID格式是私有的,包含有简单base64编码格式的用户帐号和口令。如果攻击者可以通过任何机制(如跨站脚本攻击)访问了Cookies的话,就可以获取认证凭据。
VMware ESX Server的管理界面允许用户更改口令。如果是root用户的话,还可以更改其他用户的口令。在更改口令时,会通过一个HTML表单要求用户输入并确认新的口令,然后通过HTTP GET请求将数据发送给服务器。上述请求和口令都被记录在了Apache访问日志/var/log/httpd/access_log和/var/log/httpd/ssl_request_log中,并转存到了相应的备份日志中。上述文件都是完全可读的,因此本地用户可能浏览这些文件,获得使用管理界面设置的所有口令。
厂商补丁:
VMWare
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.vmware.com文字:http://www.qqread.com/sys-soft/i211138.html
更多内容请看漏洞专区、Vmware专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- 五彩缤纷:45款超炫XP登陆界面随意换 (50639次浏览)
- 使用教程:Virtual PC安装使用完全指南 (50510次浏览)
- 国产磁盘工具精品DiskGenius应用 (29118次浏览)
- 远程桌面连接器下载 (25749次浏览)
- 巧用VMware 让电脑一台变多台 (21893次浏览)
- 千里眼顺风耳:远程控制软件全面评测 (18543次浏览)
- 用VMware虚拟机你必须知道的四点(1) (760次浏览)
- 虚拟计算机 Virtual PC 安装使用指南(5) (728次浏览)
- BootStar让安装多系统轻松起来 (564次浏览)
- 壁纸制造机 打造圣诞节桌面 (538次浏览)
