Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
15/04/2014
Actualització de seguretat per a VMware vSphere Client
VMware ha alertat sobre dos vulnerabilitats en VMware vSphere Client que permetrien la descàrrega d’actualitzacions no oficials i la suplantació d’identitat de servidors vCenter.Les vulnerabilitats detectades són:
-
Descàrrega d’actualitzacions de fonts insegures (CVE-2014-1209)
Esta vulnerabilitat permet acceptar un actualització de VMware vSphere Client des d’una font no confiable. Este fet podria permetre a un client particular vSphere Client descarregar i executar un arxiu arbitrari de qualsevol URI. Esta vulnerabilitat pot ser explotada si l’amfitrió ha sigut compromés o si un usuari ha sigut enganyat per a fer clic en un enllaç maliciós.
-
Vulnerabilitat de spoofing (CVE-2014-1210)
Vulnerabilitat en la validació del certificat de seguretat del servidor que pot ser usada per a falsificar la identitat d’un servidor vCenter. Per a la seua utilització un usuari hauria de ser enganyat per a fer clic en un enllaç maliciós.
- vSphere Client 5.1
- vSphere Client 5.0
- vSphere Client 4.1
- vSphere Client 4.0
CVE-2014-1209, CVE-2014-1210
Solució:VMware ha alliberat actualitzacions per a tots els productes afectats que solucionen les vulnerabilitats: