VMware ha publicado actualizaciones de seguridad para
corregir una vulnerabilidad en VMware Horizon View que podría permitir a un
atacante acceder a archivos del sistema afectado.
VMware Horizon View es una solución de virtualización de escritorio comercializada por VMware, proporciona capacidades de escritorio remoto a los usuarios que utilizan la tecnología de virtualización de VMware.
Detalle de la vulnerabilidad corregida con la
actualización
- El problema, con CVE-2016-7087, reside en una vulnerabilidad de escalada de directorios (o directorio transversal) en el servidor Horizon View Connection Server. Este tipo de problemas se produce generalmente al no filtrar correctamente cadenas del tipo "..\", permitiendo escapar del propio entorno de trabajo del producto y acceder a otros archivos del sistema.
- Se ven afectadas las versiones VMware Horizon View 5.x, 6.x y 7.x.
VMware ha publicado las siguientes actualizaciones:
- VMware Horizon View 7.0.1 https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon/7_0
- VMware Horizon View 6.2.3 https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon/6_2
- VMware Horizon View 5.3.7 https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon_with_view/5_3
- VMSA-2016-0015 VMware Horizon View updates address directory traversal vulnerability http://www.vmware.com/security/advisories/VMSA-2016-0015.html