VMware ha alertado sobre dos vulnerabilidades en VMware vSphere Client
que permitirían la descarga de actualizaciones no oficiales y la suplantación
de identidad de servidores vCenter. La actualización actualización se ha
catalogado con Importancia: 3 - Media
Recursos afectados
- vSphere Client 5.1
- vSphere Client 5.0
- vSphere Client 4.1
- vSphere Client 4.0
Las vulnerabilidades detectadas
son:
- Descarga de actualizaciones de fuentes inseguras (CVE-2014-1209).- Esta vulnerabilidad permite aceptar un actualización de VMware vSphere Client desde una fuente no confiable. Este hecho podría permitir a un cliente particular vSphere Client descargar y ejecutar un archivo arbitrario de cualquier URI. Esta vulnerabilidad puede ser explotada si el anfitrión ha sido comprometido o si un usuario ha sido engañado para hacer clic en un enlace malicioso.
- Vulnerabilidad de spoofing (CVE-2014-1210).- Vulnerabilidad en la validación del certificado de seguridad del servidor que puede ser usada para falsificar la identidad de un servidor vCenter. Para su utilización un usuario tendría que ser engañado para hacer clic en un enlace malicioso.
VMware ha liberado actualizaciones para todos los productos afectados que solucionan las vulnerabilidades:
- vCenter Server 5.1 U2 https://my.vmware.com/web/vmware/info/slug/datacenter_cloud_infrastructure/vmware_vsphere/5_1
- vCenter Server 5.0 U3 https://downloads.vmware.com/d/info/datacenter_cloud_infrastructure/vmware_vsphere/5_0
- ESXi and ESX https://my.vmware.com/web/vmware/downloads
- VMware vSphere Client updates address security vulnerabilities https://www.vmware.com/security/advisories/VMSA-2014-0003.html
- - See more at: https://www.vmware.com/security/advisories/VMSA-2014-0003.html#sthash.X4tgWY8n.dpuf
