CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

12/12/2014

VMware publica diversos butlletins de seguretat

Llegim en Incibe que VMware ha publicat els últims dies diversos butlletins de seguretat per a resoldre fallades trobades en els seus productes.

Risc: Alt

D’una banda, en el butlletí VMSA-2014-0012 s’han publicat actualitzacions de productes VMware vSphere (ESXi, vCenter i Update Manager) que corregixen una fallada de tipus cross site scripting, una fallada de validació de certificats i vulnerabilitats de seguretat en biblioteques de tercers.

També s’ha descobert una vulnerabilitat en els productes vCloud Automation Center, publicada en el butlletí VMSA-2014-0013, que permet l’escalada remota de privilegis en els entorns que utilitzen la funció Connect (by) using VMRC. Esta vulnerabilitat permetria a un usuari vCAC autenticat obtindre accés administratiu a vCenter Server. Els entorns que utilitzen vCloud Director (vCD) com a proxy no es veuen afectats.

Finalment, el butlletí VMSA-2014-0014 mostra una vulnerabilitat en el producte AirWatch per a l'administració de dispositius mòbils que permet obtindre informació privada. Són vulnerabilitats de referència directa a objectes que permeten a un usuari que administra un desplegament AirWatch en un entorn multiclient veure la informació organitzativa i estadístiques d’un altre client.

Sistemes Afectats: Referències:

CVE-2014-3797, CVE-2014-8371, CVE-2013-2877, CVE-2014-0191, CVE-2014-0015, CVE-2014-0138, CVE-2013-1752, CVE-2013-4238, CVE-2014-8373, CVE-2014-8372

Solució:

El fabricant ha generat els pegats que solucionen estes vulnerabilitats:

Notes:

VMSA-2014-0012 (Incibe)

VMSA-2014-0013 (Incibe)

VMSA-2014-0014 (Incibe)

Font: Incibe

CSIRT-CV