VMware vá lỗ hổng lộ thông tin trên loạt sản phẩm

  • Bắt đầu Admin
  • Ngày bắt đầu
A

Admin

Guest
VMware vá lỗ hổng lộ thông tin trên loạt sản phẩm
VMware vừa vá lỗ hổng làm lộ thông tin ảnh hưởng đến các sản phẩm sử dụng Flex BlazeDS của hãng.

Thông tin đầu tiên về lỗ hổng được Matthias Kaiser phát hiện và công bố tháng 8 vừa qua. Đó là lỗ hổng liên quan đến XML External Entity (XEE) trong Apache Flex BlazeDS, tồn tại trong các ứng dụng web chuyển đổi các thông tin XML đầu vào và có thể khai thác để lấy các tập tin được bảo vệ từ mạng.
1489939946vmware-logo.png


Trong cảnh báo đưa ra, Apache Foundation cho biết phiên bản Apache BalzeDS 4.7.0 bị ảnh hưởng bởi lỗ hổng (CVE-2015-3269).

Theo cảnh báo từ Apache Foundation: “
Khi nhận các thông tin AMF được nhúng XML chứa các dữ kiện DTD, cấu hình chuyển đổi XML mặc định cho phép mở rộng các dữ kiện tài nguyên cục bộ. Mỗi yêu cầu bao gồm các thông số truy vấn được tạo đặc biệt để truy cập các nội dung đã được bảo vệ
”.

Cũng trong cảnh báo, VMware cho biết các sản phẩm sau bị ảnh hưởng bao gồm:

· VMware vCenter Server 5.5 đến phiên bản 5.5 update 3

· VMware vCenter Server 5.1 đến phiên bản 5.1 update u3b

· VMware vCenter Server 5.0 đến phiên bản 5.0 update u3e

· vCloud Director 5.6 đến trước 5.6.4

· vCloud Director 5.5 to version 5.5.3

· VMware Horizon View 6.0 đến phiên bản 6.1

· VMware Horizon View 5.0 đến phiên bản 5.3.4

Các sản phẩm của VMware sử dụng Flex BlazeDS đều có khả năng bị hảnh hưởng bởi lỗ hổng khi xử lý các truy vấn XML External Entity. Một truy vấn được tạo đặc biệt được gửi đến máy chủ có thể dẫn đến rò rỉ các thông tin ra bên ngoài
”- VMware cho biết.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên