VMware lukker huller i vSphere

Artiklen blev oprindeligt publiceret den 9/12/2014

VMware har lukket otte huller i vSphere. Et af dem er af typen cross-site scripting, mens flere er fejl i tredjepartsbiblioteker.

Cross-site scripting-fejlen findes i vCenter Server Appliance (vCSA). Den ligger i funktionen til fejlmeddelelser, der ikke tjekker indholdet af den URL, der meldes fejl på. Dermed kan angriberen afvikle script-kode i brugerens browser.

En anden sårbarhed ligger i vCenter Server, der ikke validerer et certifikat korrekt, når den forbinder sig til en CIM Server på en ESXi-maskine.

Endelig er der rettelser til Libxml2, Curl, Python og Java. Der er rettelser til ESXi 5.1, men ingen til 5.0. Der er planlagt rettelser til 5.5, men de er ikke klar endnu.

Anbefaling
Opdater til de rettede versioner.

Links