VMware vSphere Data Protection证书验证安全限制绕过漏

发布日期：2015-01-29
更新日期：2015-02-03

受影响系统：
VMWare vSphere Data Protection 5.8
 VMWare vSphere Data Protection 5.5
 VMWare vSphere Data Protection 5.1
不受影响系统：
VMWare vSphere Data Protection 5.8.1
 VMWare vSphere Data Protection 5.5.9
描述：
BUGTRAQ  ID: 72367
 CVE(CAN) ID: CVE-2014-4632

VMware vSphere Data Protection是虚拟机备份及恢复解决方案。

VMware vSphere Data Protection 5.1, 5.5，5.8没有正确验证vCenter Server SSL服务器的X.509证书，这可使中间人攻击者用构造的证书欺骗服务器，绕过目标备份及恢复接入限制。

<*来源：Thorsten Tullmann
 
  链接：?alert=CVE-2014-4632
       
 *>

建议：
厂商补丁：

VMWare
 ------
 VMWare已经为此发布了一个安全公告（VMSA-2015-0002）以及相应补丁:
VMSA-2015-0002：VMSA-2015-0002
链接：

补丁下载：

5.8.1:
https://my.vmware.com/group/vmware/get-download?downloadGroup=VDP58_1
 5.5.9:
https://my.vmware.com/group/vmware/get-download?downloadGroup=VDP55_9 - See more at: