Af Torben B. Sørensen, 19/04/17
VMware har fjernet en alvorlig sårbarhed i behandlingen af data i AMF3-format.
Sikkerhedshullet findes i vCenter Server 6.0 og 6.5, mens version 5.5 ikke er ramt.
Sårbarheden er af den type, som sikkerhedsforsker Markus Wulftange advarede om før påske. Han har fundet tre sårbarheder i deserialization-koden for objekter af typen Action Message Format version 3 (AMF3).
VCenter anvender programmet BlazeDS til at behandle AMF3-objekter. Det er et af de sårbare programmer, Markus Wulftange har identificeret.
Fejlen ligger i vCenters funktion Customer Experience Improvement Program. Systemet er også sårbart, selvom man ikke bruger funktionen.
Anbefaling
Opdater til version 6.5c eller 6.0U3b.