Bundesamt für Sicherheit in der Informationstechnik

CB-K18/0003

Risikostufe 5

Titel:VMware vSphere Data Protection: Mehrere Schwachstellen ermöglichen die komplette Kompromittierung des SystemsDatum:03.01.2018Software:VMware vSphere Data Protection 5.x, VMware vSphere Data Protection < 6.0.7, VMware vSphere Data Protection 6.0.x, VMware vSphere Data Protection < 6.1.6, VMware vSphere Data Protection 6.1.xPlattform:VMware vCenter Server, VMware vSphere Client, VMware vSphere ServerAuswirkung:Erlangen von AdministratorrechtenRemoteangriff:JaRisiko:sehr hochCVE Liste:CVE-2017-15548, CVE-2017-15549, CVE-2017-15550Bezug: VMware Security Advisories VMSA-2018-0001

Beschreibung

VMware vSphere Data Protection basiert auf der EMC Avamar Backup und Restore Software und ist in die Verwaltung von vSphere integriert. Das gilt sowohl für den vSphere Web Client, wie auch für den vCenter Server.

In VMware vSphere Data Protection existieren mehrere vom Hersteller als kritisch bewertete Schwachstellen. Ein entfernter, nicht authentisierter Angreifer kann eine der Schwachstellen ausnutzen, um die Sicherheitsvorkehrung der Authentifizierung zu umgehen und in der Folge das betroffene System über das Erlangen von Root-Rechten komplett zu kompromittieren. Zwei weitere Schwachstellen ermöglichen einem entfernten, authentifizierten und niedrig privilegierten Benutzer, als Angreifer, die Manipulation von Dateien. Workarounds zur Mitigation der Schwachstellen existieren nicht. Zu Behebung der Schwachstellen muss für die verwundbaren vSphere Data Protection (VDP) Versionen 6.0.x und 5.x die Version 6.0.7 als Sicherheitsupdate installiert werden. Für den VDP-Versionszweig 6.1.x steht die Version 6.1.6 als Sicherheitsupdate bereit.