انتشار به‌روزرسانی‌های امنیتی VMware

VMware به‌روزرسانی‌های امنیتی را منتشر کرده است که یک آسیب‌پذیری امنیتی در vCenter ,vCloud Director و Horizon View را ترمیم می‌کند. بهره‌برداری از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد تا به اطلاعات حساس دسترسی پیدا کند.

در توصیه امنیتی VMware اطلاعات زیر منتشر شده است:

توضیح کلی

بروزرسانی محصولات VMware برای ترمیم مشکل نشت اطلاعات.

نسخه های مرتبط

VMware vCenter Server 5.5 prior to version 5.5 update 3
VMware vCenter Server 5.1 prior to version 5.1 update u3b
VMware vCenter Server 5.0 prior to version 5.0 update u3e

vCloud Director 5.6 prior to version 5.6.4
vCloud Director 5.5 prior to version 5.5.3

VMware Horizon View 6.0 prior to version 6.1
VMware Horizon View 5.0 prior to version 5.3.4

شرح مشکل

محصولات VMware که از Flex BlazeDS استفاده می‌کنند ممکن است تحت تاثیر یک نقص در درخواست های XML External Entity یا XXE قرار بگیرند. یک درخواست XML دستکاری شده که به سرور ارسال می‌شود می‌تواند به نشت ناخواسته‌ی اطلاعات منجر شود. CVE-2015-3269 به این مشکل اختصاص داده شده است.

ستون ۴ جدول زیر نشان دهنده اقدامات لازم برای هر نسخه از محصولات است:

راهکار

بررسی وصله‌های نسخه‌های محصولات و اعتبار سنجی checksum و دانلود آنها.

vCenter Server 
Downloads and Documentation: https://www.vmware.com/go/download-vsphere

vCloud Director For Service Providers 
Downloads and Documentation: https://www.vmware.com/support/pubs/vcd_pubs.html

Horizon View 6.1, 5.3.4: 
Downloads: 
https://my.vmware.com/web/vmware/details?downloadGroup=VIEW-610-GA&productId=492 
https://my.vmware.com/web/vmware/details?downloadGroup=VIEW-534-PREMIER&productId=396

منابع

1. https://www.us-cert.gov/ncas/current-activity/2015/11/19/VMware-Releases-Security-Updates
2. http://www.vmware.com/security/advisories/VMSA-2015-0008.html