Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

16/08/2016

Vulnerabilidades en VMware

Una imagen OVA incluye una clave pública SSH

Una clave pública SSH se encuentra disponible en la OVA original de VMware Photon OS 1.0. Esto permitiría a un usuario malicioso acceder a cualquier Photon OS que disponga de la clave SSH original.

VMware ya ha sustituido las OVAs originales por las nuevas, habiendo eliminado todas las instancias de la clave privada correspondiente. Los clientes que hayan descargado las OVA Photon 1.0 antes del 14 de agosto de 2016 deberían leer las release notes para aplicar el workaround correspondiente.

Sistemas Afectados:

Esto solo afecta a las OVA del producto, no a las versiones distribuibles del mismo.

Referencias:

CVE-2016-5333

Solución:

Descargar e implementar las OVA actuales y, en caso de que se haya desplegado antes del 14 de agosto, aplicar el workaround sugerido en:

https://github.com/vmware/photon/blob/master/CHANGELOG.md

Notas: None

CSIRT-CV