VMWARE VSPHERE. Múltiples vulnerabilidades en alguno de sus productos

Se han publicado actualizaciones de productos VMware vSphere que corrigen un fallo de tipo Cross Site Scripting, un fallo de validación de certificados y vulnerabilidades de seguridad en bibliotecas de terceros. Las vulnerabilidades de han catalogado de  Importancia: 4 - Alta

Recursos afectados

• VMware vCenter Server Appliance 5.1 anterior a Update 3
• VMware vCenter Server 5.5 anterior a Update 2
• VMware vCenter Server 5.1 anterior a Update 3
• VMware vCenter Server 5.0 anterior a Update 3c
• VMware ESXi 5.1 sin el parche ESXi510-201412101-SG

Detalle e Impacto de las vulnerabilidades

1. Vulnerabilidad de cross-site scripting VMware vCSA (CVE-2014-3797).- VMware vCenter Server Appliance (vcsa) contiene una vulnerabilidad que puede permitir Cross Site Scripting. La explotación de esta vulnerabilidad en vCenter Server requiere engañar a un usuario para hacer clic en un enlace malicioso o para abrir una página web maliciosa, mientras que se registran en en vCenter.
2. Problema de validación de certificado en vCenter Server (CVE-2014-8371).- vCenter Server no valida correctamente el certificado presentado al establecer una conexión con un servidor CIM que reside en un host ESXi. Esto puede permitir un ataque Man-in-the-middle contra el servicio CIM.
3. Update to ESXi libxml2 package (CVE-2013-2877, CVE-2014-0191).- libxml2 se actualiza para hacer frente a múltiples problemas de seguridad.
4. Actualización de paquete ESXi Curl (CVE-2014-0015, CVE-2014-0138).- Curl se actualiza para hacer frente a múltiples problemas de seguridad
5. Actualización del paquete ESXi Python(CVE-2013-1752, CVE-2013-4238).- Python se actualiza para hacer frente a múltiples problemas de seguridad
6. vCenter y Update Manager, Oracle JRE 1.6 Update 81.-  JRE 1.6.0 se actualiza para hacer frente a múltiples problemas de seguridad

Recomendación

El fabricante ha generado las parches que solucionan estas vulnerabilidades:

• vCSA 5.1 Update 3, vCenter Server 5.1 Update 3 and Update Manager 5.1 Update 3  https://www.vmware.com/go/download-vsphere
• ESXi 5.1 http://kb.vmware.com/kb/2086288

Más información

• VMware Security Advisory - VMSA-2014-0012 https://www.vmware.com/security/advisories/VMSA-2014-0012.html

Fuente: INCIBE