sábado, 21 de noviembre de 2015

Actualización para múltiples productos VMware

VMware ha publicado actualizaciones de seguridad para corregir una vulnerabilidad en vCenter, vCloud Director y Horizon View, que podría permitir a un atacante la obtención de información sensible.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

Diversos productos VMware hacen uso de Flex BlazeDS por lo que se ven afectados por una vulnerabilidad en el tratamiento de peticiones XXE (Entidades Externas XML). El envío de peticiones XML específicamente creadas podrá provocar que el servidor devuelva información sensible. Se ha asignado el CVE-2015-3269.

Se han publicado las siguientes actualizaciones para corregir el problema en todas las versiones afectadas:
vCenter Server 5.5 update 3, 5.1 update u3b y 5.0 update u3e:
https://www.vmware.com/go/download-vsphere
vCloud Director 5.6.4 y 5.5.3
https://www.vmware.com/support/pubs/vcd_pubs.html
Horizon View 6.1
https://my.vmware.com/web/vmware/details?downloadGroup=VIEW-610-GA&productId=492
Horizon View 5.3.4
https://my.vmware.com/web/vmware/details?downloadGroup=VIEW-534-PREMIER&productId=396

Más información:

VMSA-2015-0008
VMware product updates address information disclosure issue.
http://www.vmware.com/security/advisories/VMSA-2015-0008.html


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017