Подмена данных в VMware vSphere Client

Дата публикации:
11.04.2014
Дата изменения:
11.04.2014
Всего просмотров:
743
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2
CVE ID:
CVE-2014-1209
CVE-2014-1210
Вектор эксплуатации:
Удаленная
Воздействие:
Спуфинг атака
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
VMware vSphere Client 5.x
Уязвимые версии: VMware vSphere Client 5.0 и 5.1, возможно более ранние версии

Описание: Уязвимость позволяет удаленному пользователю совершить спуфинг атаку.

1. Приложение недостоверно проводит проверку на наличие обновлений. Удаленный пользователь может подменить обновления, если пользователь нажмет на вредоносную сформированную ссылку.

2. Приложение не правильно проверяет сертификат безопасности сервера. Удаленный пользователь может перенаправить с сервера пользователя на произвольный сайт при нажатии на вредоносную ссылку.

URL производителя: http://www.vmware.com/

Решение: Обновите продукт до фиксированной версии.

Ссылки: http://www.vmware.com/security/advisories/VMSA-2014-0003.html

или введите имя

CAPTCHA