VMware修復XSS漏洞和證書驗證問題
責編:admin |2014-12-10 13:54:41VMware本周發布了一系列補丁修復多個漏洞,包括其服務器虛擬化平臺。
漏洞存在于VMware的vCenter Server Appliance (vCSA)中,一個VMware vCenter服務器的一個組件。最主要的XSS漏洞(CVE-2014-3797)是由Trustware Spiderlabs研究員Tanya Secker發現的。黑客可以利用該漏洞讓用戶點擊惡意鏈接。漏洞只影響vCSA 5.1系統,受影響的用戶可以升級到5.1 Update3。
另一個漏洞(CVE-2014-8371)是由Google安全團隊發現的。這個漏洞能夠讓攻擊者使用中間人攻擊Common Information Model (CIM)服務。主要問題在于,在此之前,vCenter Server連接CIM服務器時并不會正確地驗證證書。運行所有版本vCenter服務器的用戶們都受此證書漏洞的影響。影響用戶可以替換或者打上補丁,他們可以升級到5.5 Update 2, 5.1 Update 3或者是5.0 Update 3c,取決于他們的當前版本。
六個CVE公共漏洞來自于第三方提供的庫:ESXi Python, ESXi Curl和ESXi libxml2。但VMware并不打算為較老版本的ESX 5.0系統發布補丁,VMware已經為ESXi 5.1系統推送了補丁,但尚未有針對新版本ESXi 5.5的補丁。
VMware這次還更新了受Oracle Java SE關鍵安全漏洞影響的vCenter Server和vCenter Update Manager。但每個產品都有差異所以5.0版本已有補丁,5.1還未修復,5.5版本則不受此影響。