Podatność cross-site scripting w produktach VMware vCenter, ESX patch and vCenter Lab Manager.

W dniu wczorajszym firma VMware opublikowała biuletyn bezpieczeństwa dotyczący wykrytego błędu cross-site scripting w module WebWorks Help w produktach VMware vCenter, ESX patch and vCenter Lab Manager.

Moduł WebWorks Help jest interfejsem pozwalającym na tworzenie i publikowanie własnego portalu online Help w sieci Intranet.
W celu wykorzystania błędu należy zmusić użytkownika do odwiedzenia odpowiednio spreparowanego linka podczas gdy zalogowany jest do vCenter, ESX lub VMwareServer przy pomocy WebAccess, lub zalogowany jest do Stage Manager lub LabManager.
Wykorzystanie luki pozwala na przejęcie uprawnień użytkownika. Atak zdalny jest możliwy wówczas gdy atakujący ma dostęp do sieci Service Console.

Zalecenia producenta to odizolowanie Service Console od sieci VM Network i aktualizacja do najnowszych wersji oprogramowania.
Podatne wersje oprogramowania:

  • ESX 4.0 without patch ESX400-200911223-UG
  • vCenter 4.0 GA
  • VMware Server 2.0.2
  • VMware Lab Manager 2.x
  • VMware vCenter Lab Manager 3.x
  • VMware vCenter Lab Manager 4.0
  • VMware vCenter Stage Manager 1.x

Źródła:
http://www.webworks.com/Security/2009-0001

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3731
 

Ocena: 4.5/5 (2)
A
A+
A++
Drukuj
PDF