VxRail : L’analyse de sécurité client renvoie une faille de sécurité dans VNC sur VxRail « le serveur VNC distant ne nécessite pas d’authentification »

Lorsque le client exécute une analyse de sécurité, une faille de sécurité dans VNC sur VxRail est renvoyée et le message peut s’afficher comme suit : « le serveur VNC distant ne nécessite pas d’authentification ».

Dans ce cas particulier, le client utilisait le logiciel de sécurité Tenable Nessus. La référence tenace à cette vulnérabilité est https://www.tenable.com/plugins/index.php?view=single&id=26925 qui déclare

 : ** Le serveur VNC renvoie parfois l’utilisateur connecté vers l’écran de connexion
XDM**. Malheureusement, Nessus n’est pas en mesure d’identifier cette situation.
** Dans ce cas, il n’est pas possible d’aller plus loin sans informations d’identification valides
** et cette alerte peut être ignorée.

Le serveur VNC sur VxRail Manager n’est activé qu’après l’activation d’ESRS et n’est accessible qu’à partir du canal sécurisé du support EMC, qui redirige ensuite vers la connexion XDM sur VxRail.

Pour VxRail, le serveur VNC envoie effectivement l’utilisateur connecté à la connexion XDM et ne peut pas aller plus loin sans informations d’identification valides.