Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/01/2013
Butlletí de seguretat de VMware
S’ha publicat un butlletí de seguretat en què es corregixen diverses vulnerabilitats trobades en els productes vCenter Server Appliance (vCSA) i ESX.La primera de les vulnerabilitats corregides va ser reportada per Alexander Minozhenko, d’ERPScan, i consistix en un error de directori transversal en vCenter Server Appliance (vCSA) que pot exposar informació sensible allotjada en el servidor. Per a explotar esta vulnerabilitat és necessari disposar d’un usuari autenticat.
La segona, també reportada per Alexander Minozhenko i afecta vCSA, consistix en un error de processament de codi XML que pot permetre a un usuari autenticat descarregar fitxers arbitraris del sistema, i exposar informació sensible del servidor.
Finalment, s’han corregit múltiples problemes de seguretat en el paquet glibc que es distribuïx amb les últimes versions d’ESXi.
Sistemes Afectats:vCenter Server Appliance 5.1 anterior a vCSA 5.1.0b
vCenter Server Appliance 5.0 anterior a vCSA 5.0 Update 2
VMware ESXi 5.1 sense pedaç ESXi510-201212101
VMware ESXi 5.0 sense pedaç ESXi500-201212101
CVE-2012-6324, CVE-2012-6325, CVE-2009-5029, CVE-2009-5064, CVE-2010-0830, CVE-2011-1089, CVE-2011-4609, CVE-2012-0864, CVE-2012-3404, CVE-2012-3405, CVE-2012-3406, CVE-2012-3480
Solució:Es recomana descarregar les actualitzacions apropiades en cada cas, en els enllaços següents:
vCenter Server Appliance 5.1.0b, vCenter Server Appliance 5.0 Update 2 i totes les versions d’ESX i ESXi.
Notes: