11月22日,vmware釋出兩條安全建議,提請客戶在該公司多個産品中打上資訊披露漏洞的更新檔。
建議之一描述了3個重要漏洞,影響的是 vcenter server、vsphere client 和 vrealize automation。positive technologies 的研究人員發現了可導緻資訊披露的xml外部實體(xxe)漏洞,某些案例中可産生拒絕服務條件。
一個問題與單點登入功能相關,另一個則影響vmware旗下 log browser、distributed switch 設定和 content library。攻擊者可通過發送到伺服器的特别編制的xml請求來利用這些漏洞。
第3個xxe漏洞影響 vsphere client,隻要攻擊者可以誘騙合法使用者連接配接惡意 vcenter server 或esxi執行個體,就能利用該漏洞。
這些安全漏洞的編号分别為:cve-2016-7458、cve-2016-7459和cve-2016-7460,已随 vsphere client 6.0 u2s、vcenter server 6.0 u2s 和 5.5 u3e,以及 vrealize automation 6.2.5 的釋出被補上。有關 vsphere client的情況,vmware建議解除安裝掉原程式後再重裝打了更新檔的版本。
本周釋出的第2條建議描述了cve-2016-5334,是 identity manager 和 vrealize automation 中中級嚴重度的資訊披露漏洞。vmware指出,該缺陷與目錄周遊類似,隻能讓攻擊者通路沒包含任何敏感資料的檔案夾。
identity manager 2.7.1 和 vrealize automation 7.2.0 中已修複了該安全漏洞。vrealize automation 7.x 是因包含一個基于rpm的 identity manager 版本而受該漏洞影響。
vmware還告知客戶有兩個建議已經更新,包括一個名為“髒牛(dirty cow)”的linux核心漏洞。
本月早些時候,參與了南韓pwnfest競賽的白帽黑客成功找出了一個 vmware workstation 關鍵漏洞,可使攻擊者利用虛拟機在實體機作業系統上執行任意代碼。pwnfest組織者獎給這些研究人員$150,000以表彰他們發現此虛->實逃逸漏洞。
本文轉自d1net(轉載)
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)