Se han publicado actualizaciones de productos VMware
vSphere que corrigen un fallo de tipo Cross Site Scripting, un fallo de validación
de certificados y vulnerabilidades de seguridad en bibliotecas de terceros. Las
vulnerabilidades de han catalogado de
Importancia: 4 - Alta
Recursos afectados
- VMware vCenter Server Appliance 5.1 anterior a Update 3
- VMware vCenter Server 5.5 anterior a Update 2
- VMware vCenter Server 5.1 anterior a Update 3
- VMware vCenter Server 5.0 anterior a Update 3c
- VMware ESXi 5.1 sin el parche ESXi510-201412101-SG
- Vulnerabilidad de cross-site scripting VMware vCSA (CVE-2014-3797).- VMware vCenter Server Appliance (vcsa) contiene una vulnerabilidad que puede permitir Cross Site Scripting. La explotación de esta vulnerabilidad en vCenter Server requiere engañar a un usuario para hacer clic en un enlace malicioso o para abrir una página web maliciosa, mientras que se registran en en vCenter.
- Problema de validación de certificado en vCenter Server (CVE-2014-8371).- vCenter Server no valida correctamente el certificado presentado al establecer una conexión con un servidor CIM que reside en un host ESXi. Esto puede permitir un ataque Man-in-the-middle contra el servicio CIM.
- Update to ESXi libxml2 package (CVE-2013-2877, CVE-2014-0191).- libxml2 se actualiza para hacer frente a múltiples problemas de seguridad.
- Actualización de paquete ESXi Curl (CVE-2014-0015, CVE-2014-0138).- Curl se actualiza para hacer frente a múltiples problemas de seguridad
- Actualización del paquete ESXi Python(CVE-2013-1752, CVE-2013-4238).- Python se actualiza para hacer frente a múltiples problemas de seguridad
- vCenter y Update Manager, Oracle JRE 1.6 Update 81.- JRE 1.6.0 se actualiza para hacer frente a múltiples problemas de seguridad
El fabricante ha generado las parches que solucionan
estas vulnerabilidades:
- vCSA 5.1 Update 3, vCenter Server 5.1 Update 3 and Update Manager 5.1 Update 3 https://www.vmware.com/go/download-vsphere
- ESXi 5.1 http://kb.vmware.com/kb/2086288
- VMware Security Advisory - VMSA-2014-0012 https://www.vmware.com/security/advisories/VMSA-2014-0012.html