Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/04/2014
Actualización de seguridad para VMware vSphere Client
VMware ha alertado sobre dos vulnerabilidades en VMware vSphere Client que permitirían la descarga de actualizaciones no oficiales y la suplantación de identidad de servidores vCenter.Las vulnerabilidades detectadas son:
- Descarga de actualizaciones de fuentes inseguras (CVE-2014-1209)
- Vulnerabilidad de spoofing (CVE-2014-1210)
Esta vulnerabilidad permite aceptar un actualización de VMware vSphere Client desde una fuente no confiable. Este hecho podría permitir a un cliente particular vSphere Client descargar y ejecutar un archivo arbitrario de cualquier URI. Esta vulnerabilidad puede ser explotada si el anfitrión ha sido comprometido o si un usuario ha sido engañado para hacer clic en un enlace malicioso.
Vulnerabilidad en la validación del certificado de seguridad del servidor que puede ser usada para falsificar la identidad de un servidor vCenter. Para su utilización un usuario tendría que ser engañado para hacer clic en un enlace malicioso.
- vSphere Client 5.1
- vSphere Client 5.0
- vSphere Client 4.1
- vSphere Client 4.0
CVE-2014-1209, CVE-2014-1210
Solución:VMware ha liberado actualizaciones para todos los productos afectados que solucionan las vulnerabilidades: