VMware ESX多个信息泄露漏洞

VMWare ESX Server是一款虚拟主机的服务程序。 VMWare ESX Server存在多个安全问题，远程攻击者可以利用漏洞获得敏感信息。 VMWare ESX Server包含的管理接口是传统的WEB应用程序，使用的会话ID包含在两个COOKIE中（vmware.mui.kid和vmware.mui.sid），这会话ID格式包含BASE64编码的用户帐户和密码，如果攻击者可以通过其他机制访问COOKIE，就可以获得验证信息。 另外管理接口还提供更改密码的功能，通过HTML表单，用户需要输入和确定新的密码，如更改ROOT用户的密码为&quot;test&quot;，就需要如下请求： https://address-of-vmware-server/sx- users?op=setUsr&amp;ag=&amp;rg=&amp;nm=root&amp;hd=%2Froot&amp;pw=test&amp;pwc=test&amp;grpSlct= 这其中包含的密码将包含在APACHE的日志文件中，可导致敏感信息泄露。 VMWare ESX Server 2.5.2 VMWare ESX Server 2.5 VMWare ESX Server 2.1.2 VMWare ESX Server 2.1.1 VMWare ESX Server 2.1 VMWare ESX Server 2.0.2 VMWare ESX Server 2.0.1 build 6403 VMWare ESX Server 2.0.1 VMWare ESX Server 2.0 build 5257 VMWare ESX Server 2.0 采用VMware ESX versions 2.5.2 patch 4和2.0.2： <a href="http://www.vmware.com/products/esx/" target="_blank">http://www.vmware.com/products/esx/</a>