Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/06/2016
Actualitzacions de seguretat per a productes VMware
En les últimes setmanes s’han publicat diversos butlletins de seguretat per a corregir vulnerabilitats detectades en diversos productes de VMware.El primer butlletí publicat és VMSA-2016-0006, pel qual es corregeix una vulnerabilitat de tipus Cross-Site Scripting (XSS) i qualificada com a important en el component vSphere Web Client de l’aplicació vCenter Server.
En el butlletí VMSA-2016-0007 per la seua banda es corregeix una vulnerabilitat de validació d’entrada en les aplicacions NSX i vCNS per la qual es podria obtindre accés a informació sensible. L’últim butlletí publicat és el VMSA 2016-0008-on es corregeix un altre Cross-Site Scripting ( XSS), aquesta vegada emmagatzemat en l’aplicació vRealize Log Insight que podria permetre l’obtenció d’una sessió autenticada per part de l’atacant. A més, també es corregeix un Cross-Site Request Forgery (CSRF) pel qual un atacant podria reemplaçar contingut confiable en l’aplicació sense l’autorització de l’usuari.
Sistemes Afectats:- vCenter Server 6.0 versions anteriors a la 6.0 update 2
- vCenter Server 5.5 versions anteriors a la 5.5 update 3d
- vCenter Server 5.1 versions anteriors a la 5.1 update 3d
- NSX 6.2 versions anteriors a la 6.2.3
- NSX 6.1 versions anteriors a la 6.1.7
- vCNS 5.5.4 versions anteriors a la 5.5.4.3
- VMware vRealize Log Insight versions anteriors a la 3.3.2
CVE-2016-2078, CVE-2016-2079, CVE-2016-2081, CVE-2016-2082
Solució:Apliqueu les actualitzacions necessàries segons s’indica en els respectius butlletins de seguretat publicats.
Notes: