11月22日,VMware发布两条安全建议,提请客户在该公司多个产品中打上信息披露漏洞的补丁。
建议之一描述了3个重要漏洞,影响的是 VCenter Server、VSphere Client 和 VRealize Automation。Positive Technologies 的研究人员发现了可导致信息披露的XML外部实体(XXE)漏洞,某些案例中可产生拒绝服务条件。
一个问题与单点登录功能相关,另一个则影响VMware旗下 Log Browser、Distributed Switch 设置和 Content Library。攻击者可通过发送到服务器的特别编制的XML请求来利用这些漏洞。
第3个XXE漏洞影响 VSphere Client,只要攻击者可以诱骗合法用户连接恶意 vCenter Server 或ESXi实例,就能利用该漏洞。
这些安全漏洞的编号分别为:CVE-2016-7458、CVE-2016-7459和CVE-2016-7460,已随 vSphere Client 6.0 U2s、vCenter Server 6.0 U2s 和 5.5 U3e,以及 vRealize Automation 6.2.5 的发布被补上。有关 vSphere Client的情况,VMware建议卸载掉原程序后再重装打了补丁的版本。
本周发布的第2条建议描述了CVE-2016-5334,是 Identity Manager 和 vRealize Automation 中中级严重度的信息披露漏洞。VMware指出,该缺陷与目录遍历类似,只能让攻击者访问没包含任何敏感数据的文件夹。
Identity Manager 2.7.1 和 vRealize Automation 7.2.0 中已修复了该安全漏洞。vRealize Automation 7.x 是因包含一个基于RPM的 Identity Manager 版本而受该漏洞影响。
VMware还告知客户有两个建议已经更新,包括一个名为“脏牛(Dirty COW)”的Linux内核漏洞。
本月早些时候,参与了韩国PwnFest竞赛的白帽黑客成功找出了一个 VMware Workstation 关键漏洞,可使攻击者利用虚拟机在实体机操作系统上执行任意代码。PwnFest组织者奖给这些研究人员$150,000以表彰他们发现此虚->实逃逸漏洞。
相关阅读