VMware
ha publicado dos boletines de seguridad para corregir varias vulnerabilidades de
divulgación de información sensible en
VMware Identity Manager, vRealize
Automation, en el servidor vCenter, en el cliente vSphere y vRealize Automation.
VMSA-2016-0021 and VMSA-2016-0022 https://t.co/W9SSJlBZcl— VMware Sec Response (@VMwareSRC) 22 de noviembre de 2016
El primer boletín (VMSA-2016-0021)
se refiere a una vulnerabilidad, con CVE-2016-5334,
en VMware Identity Manager que podría permitir una obtención "parcial" de información. El fallo
es similar a una escala de directorio o de directorio transversal, aunque según
confirma la compañía solo se puede acceder a archivos de los directorios "/SAAS/WEB-INF" and "/SAAS/META-INF". Igualmente señala
que estos directorios no contienen datos confidenciales pero el problema debe
ser corregido igualmente.
Afecta a VMware
Identity Manager 2.x y a vRealize Automation 7.x.
Por otra parte, en el boletín VMSA-2016-0022
se refiere a tres vulnerabilidades de Entidad XML Externa (XML External Entity o
XXE) en diferentes productos VMware. La primera en el cliente vSphere (CVE-2016-7458);
otra afecta a vCenter Server en el Log Browser, en la configuración Distributed
Switch y en Content Library (CVE-2016-7459)
y por último en vCenter Server y vRealize Automation en la funcionalidad Single
Sign-On (CVE-2016-7460).
Estos problemas podrían dar lugar a divulgación de información.
Afectan a:
- vSphere Client 6.0 y 5.5
- vCenter Server 6.0 y 5.5
- vRealize Automation 6.x
VMware ha publicado versiones
actualizadas para evitar los problemas disponibles desde:
VMware
Identity Manager 2.7.1
vRealize
Automation 7.2.0
vCenter Server 6.0 U2a y 5.5 U3e
vRealize
Automation 6.2.5
Más información:
VMSA-2016-0021
VMware product updates address partial
information disclosure vulnerability
VMSA-2016-0022
VMware product updates address information
disclosure vulnerabilities
VMSA-2016-0021 and VMSA-2016-0022
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario