Összefoglaló
A VMware ESX sérülékenységeit jelentették, amelyeket kihasználva támadók bizalmas információkhoz juthatnak, valamint rosszindulatú felhasználók script beszúrásos támadásokat indíthatnak.
Leírás
A VMware ESX sérülékenységeit jelentették, amelyeket kihasználva támadók bizalmas információkhoz juthatnak, valamint rosszindulatú felhasználók script beszúrásos támadásokat indíthatnak.
- A WebAccess bemenet ellenőrzési hibáját kihasználva azonos hálózaton belüli szerverekre lehet web kéréseket átirányítani, és így bizalmas adatokhoz jutni, amennyiben egy felhasználó egy erre a célra készített hivatkozásra kattint.
- A virtuális gépek neveivel a WebAccessnek átadott bemenet nincs megfelelően ellenőrizve mielőtt használnák. Ezt kihasználva tetszőleges HTML és script kód szúrható be, amely a felhasználó böngésző munkamenetében kerül futtatásra a rosszindulatú tartalom megtekintésekor.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 39171
CVE-2009-2277 - NVD CVE-2009-2277
Gyártói referencia: lists.vmware.com
CVE-2010-1137 - NVD CVE-2010-1137
SECUNIA 38384