虛拟化漏洞呈增長趨勢 VMware釋出一批漏洞公告

本文講的是 虛拟化漏洞呈增長趨勢 VMware釋出一批漏洞公告，11月22日，VMware釋出兩條安全建議，提請客戶在該公司多個産品中打上資訊披露漏洞的更新檔。

建議之一描述了3個重要漏洞，影響的是 VCenter Server、VSphere Client 和 VRealize Automation。Positive Technologies 的研究人員發現了可導緻資訊披露的XML外部實體(XXE)漏洞，某些案例中可産生拒絕服務條件。

一個問題與單點登入功能相關，另一個則影響VMware旗下 Log Browser、Distributed Switch 設定和 Content Library。攻擊者可通過發送到伺服器的特别編制的XML請求來利用這些漏洞。

第3個XXE漏洞影響 VSphere Client，隻要攻擊者可以誘騙合法使用者連接配接惡意 vCenter Server 或ESXi執行個體，就能利用該漏洞。

這些安全漏洞的編号分别為：CVE-2016-7458、CVE-2016-7459和CVE-2016-7460，已随 vSphere Client 6.0 U2s、vCenter Server 6.0 U2s 和 5.5 U3e，以及 vRealize Automation 6.2.5 的釋出被補上。有關 vSphere Client的情況，VMware建議解除安裝掉原程式後再重裝打了更新檔的版本。

本周釋出的第2條建議描述了CVE-2016-5334，是 Identity Manager 和 vRealize Automation 中中級嚴重度的資訊披露漏洞。VMware指出，該缺陷與目錄周遊類似，隻能讓攻擊者通路沒包含任何敏感資料的檔案夾。

Identity Manager 2.7.1 和 vRealize Automation 7.2.0 中已修複了該安全漏洞。vRealize Automation 7.x 是因包含一個基于RPM的 Identity Manager 版本而受該漏洞影響。

VMware還告知客戶有兩個建議已經更新，包括一個名為“髒牛(Dirty COW)”的Linux核心漏洞。

本月早些時候，參與了南韓PwnFest競賽的白帽黑客成功找出了一個 VMware Workstation 關鍵漏洞，可使攻擊者利用虛拟機在實體機作業系統上執行任意代碼。PwnFest組織者獎給這些研究人員$150,000以表彰他們發現此虛->實逃逸漏洞。

原文釋出時間為：十一月 27, 2016

本文作者：nana

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛