El investigador Matthias Kaiser de Code White GmbH ha identificado una
vulnerabilidad en varios productos de VMware que puede ser aprovechada para obtener
información confidencial. Dicha vulnerabilidad se ha catalogado de Importancia:
4 - Alta
Recursos afectados
- vCenter Server 5.5
- vCenter Server 5.1
- vCenter Server 5.0
- vCenter
Server 6.0
- vCloud
Director 5.6
- vCloud
Director 5.5
- Horizon
View 6.0
- Horizon
View 5.3
Detalle e Impacto de la vulnerabilidad
- El componente Apache Flex BlazeDS, utilizado
por diferentes productos de VMware, no procesa correctamente peticiones
XML External Entity (XXE). Este hecho puede provocar que una solicitud
especialmente diseñada que se envíe al servidor provoque la divulgación de
información.
Recomendación
- La información del parche necesario y su
descarga puede obtenerse desde https://www.vmware.com/security/advisories/VMSA-2015-0008.html
Más información
- CVE-2015-3269 Apache
Flex BlazeDS Insecure Xml Entity Expansion Vulnerability http://www.securityfocus.com/archive/1/536266/100/0/threaded
- VMware Security Advisories - VMSA-2015-0008 https://www.vmware.com/security/advisories/VMSA-2015-0008.html
Fuente: INCIBE