用户名:  密码:  验证码: 验证码  注册  找回
RSS
无双网
 2019年09月23日 星期一  您现在位于: 首页 → 技术文栏 → VMware ESX Server存在...

VMware ESX Server存在多个敏感信息内容泄露漏洞

2011年06月08日  无双网  出处:
受影响系统:
VMWare ESX Server 2.5.2
VMWare ESX Server 2.5
VMWare ESX Server 2.1.2
VMWare ESX Server 2.1.1
VMWare ESX Server 2.1
VMWare ESX Server 2.0.2
VMWare ESX Server 2.0.1 build 6403
VMWare ESX Server 2.0.1
VMWare ESX Server 2.0 build 5257
VMWare ESX Server 2.0

不受影响系统:
VMWare ESX Server 2.5.3 Patch 2
VMWare ESX Server 2.5.2 Patch 4
VMWare ESX Server 2.1.3 Patch 1
VMWare ESX Server 2.0.2 Patch 1

描述:

VMware ESX Server是一个适用于任何系统环境的企业级虚拟计算机软件。

VMware ESX Server的管理界面使用了两个Cookies(vmware.mui.kid和vmware.mui.sid)中的会话ID。会话ID格式是私有的,包含有简单base64编码格式的用户帐号和口令。如果攻击者可以通过任何机制(如跨站脚本攻击)访问了Cookies的话,就可以获取认证凭据。

VMware ESX Server的管理界面允许用户更改口令。如果是root用户的话,还可以更改其他用户的口令。在更改口令时,会通过一个HTML表单要求用户输入并确认新的口令,然后通过HTTP GET请求将数据发送给服务器。上述请求和口令都被记录在了Apache访问日志/var/log/httpd/access_log和/var/log/httpd/ssl_request_log中,并转存到了相应的备份日志中。上述文件都是完全可读的,因此本地用户可能浏览这些文件,获得使用管理界面设置的所有口令。

厂商补丁:
VMWare
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
/20101129233004101.com
 (本文已被浏览 380 次)
 发布人:[标签:发布人]
 → 推荐给我的好友
上篇文章:VMWARE ESX中设置CONSOLE...
下篇文章:服务器虚拟技术现实全景
发表评论
  → 评论内容 (点击查看)   共0条评论,每页显示5条评论   浏览所有评论
(没有相关评论)
  → 发表我的评论 (点击发表)
热门文章
 保存webbrowser中的HTML内...
 用VB6.0设计简易赛车游戏
 MSFlexGrid使用技巧一例
 游戏对照表
 Win2003+Discuz!5.5+II...
 全部DLL下载
 添加红月装备的详细教程 (包括装备 武...
 在Delphi里播放Flash
 用vb6的ActiveX控件实现异步下...
 能否判断动态数组有没有被分配过
最新文章
 [ODBC SQL Server Driv...
 评论:115网盘的何去何从
 我科学家实现百公里量级自由空间量子隐形...
 中国智能手机出货量占全球27%居世界之...
 Gartner:2012 第二季度西欧 P...
 [多图]华山论剑:当今在世的智商最高的...
 三星获出租车服务系统专利 可快速查看驾...
 [多图]15项可能延续到2030年的科...
 分析称苹果三星专利大战输赢已成定论
 Google终获云操作系统专利
 网站留言· 友情链接·与我在线·网站地图联系我们·管理·TOP 
 陕ICP备14011112号  
 Copyright © 2012 Asp126.com Inc. All Rights Reserved.Processed in 0.031s, 8 queries, 35 Cache,0 Online