CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

11/10/2016

Publicada una actualización de seguridad para VMware Horizon View

La actualización de seguridad publicada por VMware corrige el problema, por el cual un atacante podría tener acceso a los archivos del sistema.

Riesgo: Medio

La vulnerabilidad corregida CVE-2016-7087, permitía la escalada de directorios (o directorio transversal) en el servidor Horizon View Connection Server debido a que no se estaba realizando correctamente el filtro de cadenas "..\". De este modo el atacante podía escapar de su entorno de trabajo y acceder a otros archivos del sistema.

Podéis encontrar más información en el siguiente enlace.

Sistemas Afectados:

Se ven afectadas las versiones VMware Horizon View 5.x, 6.x y 7.x.

Referencias:

CVE-2016-7087

Solución:

Actualizar a las nuevas versiones de  VMware Horizon View

Mware Horizon View 7.0.1
https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon/7_0

VMware Horizon View 6.2.3
https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon/6_2

VMware Horizon View 5.3.7
https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon_with_view/5_3

 

Notas:

Más información:

VMware Horizon View updates address directory traversal vulnerability
http://www.vmware.com/security/advisories/VMSA-2016-0015.html

 

Fuente: Hispasec una-al-día

CSIRT-CV