VMWare vCenter Server, vRealize Automation, vSphere Client és Server (XXE és DoS) sérülékenységek

CH azonosító

CH-13727

Angol cím

VMware vCenter Server, vRealize Automation, vSphere Client & Server (XXE and DoS) vulnerabilities

Felfedezés dátuma

2016.11.21.

Súlyosság

Magas

Érintett rendszerek

VMware

Érintett verziók

VMWare vCenter Server 5.5, 6.0
VMWare vSphere Client 5.5, 6.0
VMWare vRealize Automation 6.x

Összefoglaló

A VMWare termékek magas kockázati besorolású sérülékenységei lehetővé teszik a támadó számára, hogy érzékeny információkat szerezzen a rendszerről, valamint szolgáltatásmegtagadásra ad lehetőséget.

Leírás

A vSphere Client XML External Entity (XXE) sérülékenységének kihasználásához a támadó a vSphere Client felhasználót ráveszi egy kártékony vCenter Server vagy ESXi példányhoz való csatlakozásra.

A vCenter Server a Log Browser, a Distributed Switch setup és a Content Library komponensben tartalmaz XML External Entity (XXE) sérülékenységet.

A vCenter Server és a vRealize Automation a Single Sign-On funkciójában jelentettek további XML External Entity (XXE) sérülékenységet.

Megoldás

Telepítse a javítócsomagokat

Megoldás

VMWare vSphere Client 6.0 frissítése 6.0 U2a verzióra

VMWare vSphere Client 5.5 frissítése 5.5 U3e verzióra

VMWare vSphere Server 6.0 frissítése 6.0 U2a verzióra

VMWare vSphere Server 5.5 frissítése 5.5 U3e verzióra

VMWare vCenter Server 6.0 frissítése 6.0 U2e verzióra

VMWare vCenter Server 5.5 frissítése 5.5 U3e verzióra

VMWare vRealize Automation 6.x frissítése 6.2.5 verzióra