Search the VMware Knowledge Base (KB)
View by Article ID

VMware 修复:通过特别编写的环境变量实现的 bash 代码植入漏洞(CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、CVE-2014-7187、CVE- 2014-6277、CVE-2014-6278,通称“shellshock”) (2090911)

  • 1 Ratings

Purpose

免责声明:本文为 VMware assessment of Bash Code Injection Vulnerability via Specially Crafted Environment Variables (CVE-2014-6271 CVE-2014-7169, aka "Shellshock") (2090740) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。


2014 年 9 月 24 日爆出 Bash 一个极为严重的漏洞(CVE-2014-6271 和 CVE-2014-7169),该漏洞可远程执行代码。随后陆续爆出更多的 Bash 漏洞,发布的报告有 CVE-2014-7186CVE-2014-7187CVE-2014-6277、及 CVE-2014-6278

VMware 安全管理、通信、及响应小组(vSECR)已评估了这些漏洞对我们的产品可能造成的影响。我们根据评估结果已发布 VMware 产品的更新版本或补丁,具体参见本文下节内容。

:关于 VMware 客户门户及网站的信息,请见 Bash 代码植入漏洞对VMware客户门户及网站的影响(CVE-2014-6271 和 CVE-2014-7169,通称“shellshock”)(2090909)

Resolution

产品

  • vSphere ESXi/ESX 虚拟化层

    ESXi 4.0、4.1、5.0、5.1 及 5.5 不受影响,因为这几个版本使用的是 Ash Shell(通过busybox),这不受报告的 Bash shell 漏洞的影响。

    ESX 4.0 及 4.1 使用的是受影响的 Bash shell 版本。补救措施详见 VMSA-2014-0010

    注:VMware 在认真考虑后,已针对 Bash Shell 漏洞提供了 VMware ESX 4.0 和 4.1 的安全补丁。发布此安全补丁超出了现有的 VMware 生命周期政策的规定。这些产品的一般支持周期在前 4 个月内已终止,VMware 此举是出于对 Bash 漏洞危害性的考虑。我们建议所有客户更新至 VMware 的最新版本。VMware 全球服务团队随时为客户提供各种支持。

    ESXi 的 Cisco Nexus 1000V 虚拟以太网模块不受此次bash漏洞的影响。有关 Cisco Nexus 1000V 虚拟监管模块(VSM)的情况,请参见:
  • 在Windows上运行的产品
    基于Windows的产品不受影响,包括在Windows上运行的所有版本的vCenter Server。

  • 作为虚拟设备或普通设备出售的产品
    如下所列的(虚拟)设备是基于受影响的Bash版本。VMware尚未证明此次Bash漏洞可威胁这些设备,我们正采取谨慎措施发布新版本。

    VMware安全资讯VMSA-2014-0010中发布了最新的补丁或更新信息。其中针对几个产品同时提供了补丁及产品更新。一般情况下,如果有提供补丁,则需要在最新版本的设备上应用该补丁。

    客户应参见《VMware安全资讯VMSA-2014-0010》中所列的产品知识库文档了解所提供的修复类别及适用的设备版本号。

    VMware(虚拟)设备
    • EVO:RAIL 1.x (EVO:Rail 是与vCenter Server Appliance 和 vRealize Log Insight(之前称为 vCenter Log Insight)捆绑出售的,VMware将发布新版EVO:Rail,其中会包含这些设备的更新版本)
    • Horizon DaaS Platform 6.x (补救措施详见 VMSA-2014-0010
    • Horizon Workspace 1.x, 2.x (补救措施详见 VMSA-2014-0010
    • vRealize Business Advanced 和 Enterprise(之前称为 IT Business Management)1.x (补救措施详见 VMSA-2014-0010
    • NSX for Multi-Hypervisor 4.x (补救措施详见 VMSA-2014-0010
    • NSX for vSphere 6.x (补救措施详见 VMSA-2014-0010
    • NVP 3.x (补救措施详见 VMSA-2014-0010
    • vCenter Application Discovery Manager 7.x
    • vCenter Converter Standalone 5.x (vCenter Converter Standalone不是一个虚拟设备,但含有一个受影响的bash版本)
    • vRealize Hyperic(之前称为 vCenter Hyperic)5.x (补救措施详见 VMSA-2014-0010
    • vRealize Infrastructure Navigator(之前称为 vCenter Infrastructure Navigator)5.x (补救措施详见 VMSA-2014-0010
    • vRealize Log Insight(之前称为 vCenter log Insight)1.0, 2.0 (补救措施详见 VMSA-2014-0010
    • vRealize Operations Manager(之前称为 vCenter Operations Manager)5.x (补救措施详见 VMSA-2014-0010
    • vRealize Orchestrator Appliance(之前称为 vCenter Orchestrator Appliance)4.x, 5.x (补救措施详见 VMSA-2014-0010
    • vCenter Server Appliance 5.x (补救措施详见 VMSA-2014-0010
    • vCenter Site Recovery Manager 5.x (vCenter Site Recovery Manager是与vSphere Replication捆绑出售的,VMware将发布包含此设备更新版本的新版vCenter Site Recovery Manager。 补救措施详见 VMSA-2014-0010)
    • vCenter Support Assistant 5.x (补救措施详见 VMSA-2014-0010
    • vRealize Application Service(之前称为 vCloud Application Director)5.x, 6.x (又名vFaric Application Director) (补救措施详见 VMSA-2014-0010)
    • vRealize Automation Center(之前称为 vCloud Automation Center)6.x (注释:vRealize Automation Center 5.x 不是一个虚拟设备)(补救措施详见 VMSA-2014-0010
    • vCloud Automation Center Application Services 6.x (补救措施详见 VMSA-2014-0010
    • vCloud Director 5.x Appliance(补救措施详见 VMSA-2014-0010
    • vCloud Connector 2.x (补救措施详见 VMSA-2014-0010
    • vCloud Networking and Security 5.x (即VMware Shield 5.x,补救措施详见 VMSA-2014-0010
    • vCloud Usage Meter 3.x (补救措施详见 VMSA-2014-0010
    • vFabric Postgres 9.x(补救措施详见 VMSA-2014-0010
    • Viewplanner 3.x
    • VMware Application Dependency Planner (补救措施详见 VMSA-2014-0010
    • VMware Data Recovery 2.x (补救措施详见 VMSA-2014-0010
    • VMware HealthAnalyzer 5.x (补救措施详见 VMSA-2014-0010
    • VMware Mirage Gateway 5.x (补救措施详见 VMSA-2014-0010
    • VMware Socialcast On Premise 2.x (补救措施详见 VMSA-2014-0010
    • VMware Studio 2.x
    • VMware Workbench 3.x
    • vSphere App HA 1.x (补救措施详见 VMSA-2014-0010
    • vSphere Big Data Extensions 1.x, 2.x (补救措施详见 VMSA-2014-0010
    • vSphere Data Protection 5.x
    • vSphere Management Assistant 5.x (补救措施详见 VMSA-2014-0010
    • vSphere Replication 5.x (补救措施详见 VMSA-2014-0010
    • vSphere Storage Appliance 5.x(补救措施详见 VMSA-2014-0010

重要提示:VMware建议通过防火墙规则等其他网络层面的控制来限制这些应用的访问,且只对信任的IP地址开放。此项措施可以极大降低这些设备的风险。

  • 在Linux、安卓、Mac OS或iOS上运行的产品(不包括虚拟设备)
    在Linux、安卓、Mac OS或iOS上运行的产品(不包括虚拟设备)可能会使用Bash Shell(是操作系统的一部分)。如果操作系统含有受影响的Bash版本,则Bash安全漏洞可能会利用这些产品发动攻击。VMware建议客户联系操作系统供应商获取补丁。

    此类产品包括VMware Workstation、VMware Fusion及AirWatch MDM 软件。

服务

  • AirWatch MDM Cloud Services –截至目前,VMware 尚未发现 AirWatch MDM Cloud Services 被该漏洞所利用的证据。
  • Horizon DaaS –不受影响
  • vRealize Business Advanced 和 Enterprise(之前称为 IT Business Management–2014 年 9 月 26 日应用 Bash 补丁
  • Socialcast –2014 年 9 月 26 日应用 Bash 补丁
  • vCloud Air – 截至目前,VMware 尚未发现 vCloud Air 被该漏洞所利用的证据。许多 vCloud Air 客户可能专门定制了包括有 Linux 虚拟机的环境,VMware 建议客户自己评估这样的个别环境,并安装虚拟机补丁。

Additional Information

请点击 Actions 框中的订阅文档订阅本文的更新通知。

Tags

简体中文 Mandarin

See Also

Update History

10/01/2014 - Updated information 10/02/2014 - Updated information 10/05/2014 - Updated information

Request a Product Feature

To request a new product feature or to provide feedback on a VMware product, please visit the Request a Product Feature page.

Feedback

  • 1 Ratings

Did this article help you?
This article resolved my issue.
This article did not resolve my issue.
This article helped but additional information was required to resolve my issue.

What can we do to improve this information? (4000 or fewer characters)




Please enter the Captcha code before clicking Submit.
  • 1 Ratings
Actions
KB: