99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源


虛擬化漏洞呈增長(zhǎng)趨勢(shì) VMware發(fā)布一批漏洞公告

本文原創(chuàng)作者:

來源:FreeBuf.COM

11月22日,VMware發(fā)布兩條安全建議,提請(qǐng)客戶在該公司多個(gè)產(chǎn)品中打上信息披露漏洞的補(bǔ)丁。

vmware%ef%bc%88vmsa%ef%bc%89-1024x550

建議之一描述了3個(gè)重要漏洞,影響的是 VCenter Server、VSphere Client 和 VRealize Automation。Positive Technologies 的研究人員發(fā)現(xiàn)了可導(dǎo)致信息披露的XML外部實(shí)體(XXE)漏洞,某些案例中可產(chǎn)生拒絕服務(wù)條件。

一個(gè)問題與單點(diǎn)登錄功能相關(guān),另一個(gè)則影響VMware旗下 Log Browser、Distributed Switch 設(shè)置和 Content Library。攻擊者可通過發(fā)送到服務(wù)器的特別編制的XML請(qǐng)求來利用這些漏洞。

第3個(gè)XXE漏洞影響 VSphere Client,只要攻擊者可以誘騙合法用戶連接惡意 vCenter Server 或ESXi實(shí)例,就能利用該漏洞。

這些安全漏洞的編號(hào)分別為:CVE-2016-7458、CVE-2016-7459和CVE-2016-7460,已隨 vSphere Client 6.0 U2s、vCenter Server 6.0 U2s 和 5.5 U3e,以及 vRealize Automation 6.2.5 的發(fā)布被補(bǔ)上。有關(guān) vSphere Client的情況,VMware建議卸載掉原程序后再重裝打了補(bǔ)丁的版本。

本周發(fā)布的第2條建議描述了CVE-2016-5334,是 Identity Manager 和 vRealize Automation 中中級(jí)嚴(yán)重度的信息披露漏洞。VMware指出,該缺陷與目錄遍歷類似,只能讓攻擊者訪問沒包含任何敏感數(shù)據(jù)的文件夾。

Identity Manager 2.7.1 和 vRealize Automation 7.2.0 中已修復(fù)了該安全漏洞。vRealize Automation 7.x 是因包含一個(gè)基于RPM的 Identity Manager 版本而受該漏洞影響。

VMware還告知客戶有兩個(gè)建議已經(jīng)更新,包括一個(gè)名為“臟牛(Dirty COW)”的Linux內(nèi)核漏洞。

本月早些時(shí)候,參與了韓國(guó)PwnFest競(jìng)賽的白帽黑客成功找出了一個(gè) VMware Workstation 關(guān)鍵漏洞,可使攻擊者利用虛擬機(jī)在實(shí)體機(jī)操作系統(tǒng)上執(zhí)行任意代碼。PwnFest組織者獎(jiǎng)給這些研究人員$150,000以表彰他們發(fā)現(xiàn)此虛->實(shí)逃逸漏洞。

原文地址:http://www.aqniu.com/threat-alert/21264.html

上一篇
下一篇

聯(lián)系我們:cert@chaosec.com