Уязвимость существует из-за некорректной обработки файлов сессии и позволяет осуществить атаку «человек посередине».
Компания VMware выпустила ряд обновлений безопасности, устраняющих уязвимость (CVE-2016-2076) в пакете VMware vSphere Client Integration Plugin (CIP), реализованном в решениях vCenter, vCloud Director и vRealize Automation Identity Appliance.
CIP - пакет средств от VMware, представляющий собой набор утилит для некоторых административных операций в виртуальной инфраструктуре. Утилиты доступны как для Microsoft Windows, так и для Apple Mac OS X.
Согласно предупреждению , опубликованному на сайте компании, уязвимость существует из-за некорректной обработки файлов сессии и позволяет осуществить атаку «человек посередине» или перехватить сессию пользователя при помощи специально сформированной web-страницы. Ошибке подвержены следующие продукты:
vCenter Server 6.0 (любая версия 6.0 до 6.0 U2)
vCenter Server 5.5 U3a, U3b, U3c
vCloud Director 5.5.5 для Windows
vRealize Automation Identity Appliance 6.2.4 для Linux
Проблема не затрагивает продукты vCloud Director 8.0.0 и 8.0.1. Перед установкой обновлений для уязвимых версий CIP потребуется обновить текущие версии решений vCenter Server, vCloud Director и vRealize Automation Identity Appliance.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале