VMware修复XSS漏洞和证书验证问题

1418181150522

VMware本周发布了一系列补丁修复多个漏洞,包括其服务器虚拟化平台。

漏洞存在于VMware的vCenter Server Appliance (vCSA)中,一个VMware vCenter服务器的一个组件。最主要的XSS漏洞(CVE-2014-3797)是由Trustware Spiderlabs研究员Tanya Secker发现的。黑客可以利用该漏洞让用户点击恶意链接。漏洞只影响vCSA 5.1系统,受影响的用户可以升级到5.1 Update3。

另一个漏洞(CVE-2014-8371)是由Google安全团队发现的。这个漏洞能够让攻击者使用中间人攻击Common Information Model (CIM)服务。主要问题在于,在此之前,vCenter Server连接CIM服务器时并不会正确地验证证书。运行所有版本vCenter服务器的用户们都受此证书漏洞的影响。影响用户可以替换或者打上补丁,他们可以升级到5.5 Update 2, 5.1 Update 3或者是5.0 Update 3c,取决于他们的当前版本。

六个CVE公共漏洞来自于第三方提供的库:ESXi Python, ESXi Curl和ESXi libxml2。但VMware并不打算为较老版本的ESX 5.0系统发布补丁,VMware已经为ESXi 5.1系统推送了补丁,但尚未有针对新版本ESXi 5.5的补丁。
VMware这次还更新了受Oracle Java SE关键安全漏洞影响的vCenter Server和vCenter Update Manager。但每个产品都有差异所以5.0版本已有补丁,5.1还未修复,5.5版本则不受此影响。

具体漏洞详情参见此处
VMware提醒用户查看版本注释并及时修补补丁。

VMware修复XSS漏洞和证书验证问题:等您发表观点!

发表评论


快捷键:Ctrl+Enter