Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
12/12/2014
D’una banda, en el butlletí VMSA-2014-0012 s’han publicat actualitzacions de productes VMware vSphere (ESXi, vCenter i Update Manager) que corregixen una fallada de tipus cross site scripting, una fallada de validació de certificats i vulnerabilitats de seguretat en biblioteques de tercers.
També s’ha descobert una vulnerabilitat en els productes vCloud Automation Center, publicada en el butlletí VMSA-2014-0013, que permet l’escalada remota de privilegis en els entorns que utilitzen la funció Connect (by) using VMRC. Esta vulnerabilitat permetria a un usuari vCAC autenticat obtindre accés administratiu a vCenter Server. Els entorns que utilitzen vCloud Director (vCD) com a proxy no es veuen afectats.
Finalment, el butlletí VMSA-2014-0014 mostra una vulnerabilitat en el producte AirWatch per a l'administració de dispositius mòbils que permet obtindre informació privada. Són vulnerabilitats de referència directa a objectes que permeten a un usuari que administra un desplegament AirWatch en un entorn multiclient veure la informació organitzativa i estadístiques d’un altre client.
Sistemes Afectats:CVE-2014-3797, CVE-2014-8371, CVE-2013-2877, CVE-2014-0191, CVE-2014-0015, CVE-2014-0138, CVE-2013-1752, CVE-2013-4238, CVE-2014-8373, CVE-2014-8372
Solució:El fabricant ha generat els pegats que solucionen estes vulnerabilitats: