VMware выпустила обновления для vCenter, vCloud Director и Horizon

image

Теги: брешь, утечка информации, инфраструктура

Обновление устраняет брешь, позволяющую получить доступ к важным данным.

Компания VMware выпустила обновления для решений по управлению виртуальной инфраструктурой vCenter, vCloud Director и Horizon, устраняющие брешь ( CVE-2015-3269 ) в ПО Apache Flex BlazeDS. Уязвимость существует из-за ошибки при обработке XML-элементов и может привести к раскрытию важной информации.

XXE-уязвимость (XML External Entity) была обнаружена в BlazeDS - web-технологии передачи сообщений, встроенной в Adobe LiveCycle Data Services LiveCycle. В августе этого года Adobe устранила данную уязвимость, классифицированную как «важная», выпустив исправление для файла flex-messaging-core.jar.

Брешь затрагивает следующие продукты: версии VMware vCenter до 6.0, Horizon View 6.0, текущую версию vCloud Director 5.6.

XXE-уязвимости в web-приложениях, обрабатывающих XML-данные, могут быть использованы для вывода защищенных файлов из Сети. По словам экспертов, суть подобной уязвимости заключается в том, что входные XML-данные, содержащие ссылку на внешний элемент, обрабатываются некорректно сконфигурированным XML-парсером.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.