vCenter Server AD匿名LDAP绑定证书绕过漏洞（CVE-2013-3107）

发布日期：2013-04-25
更新日期：2013-04-27受影响系统：
VMWare vCenter Server 5.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 59508
CVE（CAN） ID: CVE-2013-3107

VMware vCenter Server可以快速部署虚拟机，并监控物理服务器和虚拟机的性能，可通过单个界面部署、监控和管理虚拟化IT 环境，并确保最佳的服务级别。

vCenter Server Appliance如果使用开启了匿名LDAP绑定的AD，则会不正确处理登录凭证。在此部署环境中，通过设备的身份验证，只需要有效的用户名和空密码即可。攻击者可利用此漏洞绕过身份验证。

<*来源：vendor

链接：http://secunia.com/advisories/53180/
http://www.vmware.com/security/advisories/VMSA-2013-0006.html
*>建议：
--------------------------------------------------------------------------------
临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 禁用AD匿名LDAP绑定。

厂商补丁：

VMWare
------
VMWare已经为此发布了一个安全公告（VMSA-2013-0006）以及相应补丁:
VMSA-2013-0006：VMware security updates for vCenter Server
链接：http://www.vmware.com/security/advisories/VMSA-2013-0006.html

补丁下载：https://downloads.vmware.com/d/info/datacenter_cloud_infrastructure/vmware_vsphere/5_1

http://www.vmware.com/support/vsphere5/doc/vsphere-vcenter-server-51u1-release-notes.htmlMcAfee ePolicy Orchestrator 目录遍历漏洞（CVE-2013-0141）vCenter Server Appliance 任意代码执行漏洞（CVE-2013-3079）相关资讯 vCenter Server

vCenter Server Appliance 任意代（04/29/2013 09:02:46）

vCenter Server 任意文件上传漏洞（（04/28/2013 06:26:54）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任