VMware本周發(fā)布了一系列補(bǔ)丁修復(fù)多個(gè)漏洞,包括其服務(wù)器虛擬化平臺。
漏洞存在于VMware的vCenter Server Appliance (vCSA)中,一個(gè)VMware vCenter服務(wù)器的一個(gè)組件。最主要的XSS漏洞(CVE-2014-3797)是由Trustware Spiderlabs研究員Tanya Secker發(fā)現(xiàn)的。黑客可以利用該漏洞讓用戶點(diǎn)擊惡意鏈接。漏洞只影響vCSA 5.1系統(tǒng),受影響的用戶可以升級到5.1 Update3。
另一個(gè)漏洞(CVE-2014-8371)是由Google安全團(tuán)隊(duì)發(fā)現(xiàn)的。這個(gè)漏洞能夠讓攻擊者使用中間人攻擊Common Information Model (CIM)服務(wù)。主要問題在于,在此之前,vCenter Server連接CIM服務(wù)器時(shí)并不會正確地驗(yàn)證證書。運(yùn)行所有版本vCenter服務(wù)器的用戶們都受此證書漏洞的影響。影響用戶可以替換或者打上補(bǔ)丁,他們可以升級到5.5 Update 2, 5.1 Update 3或者是5.0 Update 3c,取決于他們的當(dāng)前版本。
六個(gè)CVE公共漏洞來自于第三方提供的庫:ESXi Python, ESXi Curl和ESXi libxml2。但VMware并不打算為較老版本的ESX 5.0系統(tǒng)發(fā)布補(bǔ)丁,VMware已經(jīng)為ESXi 5.1系統(tǒng)推送了補(bǔ)丁,但尚未有針對新版本ESXi 5.5的補(bǔ)丁。
VMware這次還更新了受Oracle Java SE關(guān)鍵安全漏洞影響的vCenter Server和vCenter Update Manager。但每個(gè)產(chǎn)品都有差異所以5.0版本已有補(bǔ)丁,5.1還未修復(fù),5.5版本則不受此影響。
具體漏洞詳情參見此處
VMware提醒用戶查看版本注釋并及時(shí)修補(bǔ)補(bǔ)丁。
京公網(wǎng)安備 11010502049343號