VMware
ha publicado
una actualización de seguridad para corregir una vulnerabilidad en VMware vRealize Log Insight, que podría
permitir a un atacante acceder a
archivos del sistema afectado.
VMware es un software que permite
ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. VMware
vRealize Log Insight ofrece una gestión de registros heterogénea y escalable
con paneles de gestión y análisis. Especialmente orientado a entornos de cloud
con un gran número de registros y datos.
El problema, con CVE-2016-5332, afecta a vRealize
Log Insight 2.x y 3.x y reside en un filtrado inadecuado de las entradas del
usuario, que podría permitir escalar directorios y acceder a cualquier archivo
del sistema afectado. Este tipo de problemas se produce generalmente al no
filtrar correctamente cadenas "..\", permitiendo escapar del propio
entorno de trabajo del producto y acceder a otros archivos del sistema.
VMware ha publicado la versión vRealize Log Insight 3.6.0 que
soluciona el problema. Disponible desde
Más información:
VMSA-2016-0011
vRealize Log Insight update addresses directory
traversal vulnerability.
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario