VMware ha
publicado actualizaciones de seguridad para corregir dos vulnerabilidades en
VMware Identity Manager y vRealize Automation, que podrían permitir a un
usuario local elevar sus privilegios y la ejecución de código arbitrario.
VMware Identity Manager es una solución IDaaS, o Identity as a Service, que ofrece un sistema de control de acceso que permite a los administradores establecer políticas sobre dispositivos y de gestión de información especialmente en entornos cloud. VMware vRealize Automation automatiza el despliegue y gestión de servicios, aplicaciones e infraestructuras en entornos de cloud
Detalle de
vulnerabilidades
- El primer problema, con CVE-2016-5335, reside en una vulnerabilidad de elevación de privilegios en VMware Identity Manager y vRealize Automation. Un atacante local con permisos reducidos podría conseguir permisos de root.
- Por otra parte, con CVE-2016-5336, una vulnerabilidad de ejecución remota de código en vRealize Automation.
Recursos
afectados
- Se ven afectadas las versiones VMware Identity Manager 2.x y vRealize Automation 7.0.x.
Recomendación
VMware ha
publicado las siguientes actualizaciones:
- VMware Identity Manager 2.7 disponible desde: https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_identity_manager/2_7
- vRealize Automation 7.1 disponible desde https://my.vmware.com/group/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_automation/7_1#product_downloads
Más
información:
- VMSA-2016-0013. VMware Identity Manager and vRealize Automation updates address multiple security issues http://www.vmware.com/security/advisories/VMSA-2016-0013.html
Fuente:
Hispasec.com