您的位置: 网界网 > 周报全文 > 正文

[周报全文]VMware修复严重安全漏洞

2013年01月08日 17:15:24 | 作者:CNW.com.cn | 来源:网界网 | 查看本文手机版

摘要:VMware在提醒用户的安全公告中称,VMware View产品包含一个严重的目录遍历安全漏洞。这个安全漏洞能够让未经身份识别的远程攻击者从受影响的VMware View服务器中提取任意文件。

标签
安全漏洞
VMware

VMware在提醒用户的安全公告中称,VMware View产品包含一个严重的目录遍历安全漏洞。这个安全漏洞能够让未经身份识别的远程攻击者从受影响的VMware View服务器中提取任意文件。这个安全漏洞可能暴露存储在该服务器中的敏感信息。而对于VMware View产品更新将免费提供给这个产品的正版用户。

风险审计公司Digital Defense (DDI)在2012年10月警告VMware注意这个问题。该问题仅限于VMware View。DDI高级安全漏洞研究人员Javier Castro指出,大型机构一般都使用它演示一种产品。

DDI在对VMware View系统进行一系列安全漏洞测试时发现,一个以前曾获准访问虚拟机上特定文件的用户,能够从该虚拟机获取他无权访问的文件。这意味着一个潜在的入侵者可能访问了一个网站服务器上的文件系统,比如访问敏感的散列密码。DDI发现,这个目录遍历安全漏洞存在于运行VMware View的连接服务器和安全服务器中。

DDI对VMware系统的一般目录遍历安全漏洞进行检查,通过把子目录中的各种提示符字符串结合在一起发现了这个安全漏洞。Castro说,VMware产品是“丰富的”,因为根据其虚拟化的性质,这些产品能够访问许多虚拟机,因此目录遍历安全漏洞是黑客和安全漏洞审计者都关心的一个领域。他补充说,VMware在最近几个月似乎更善于审计第三方的工具,以保证VMware在其产品和服务中使用的工具的任何更新和补丁都能够在VMware的更新中反映出来。

[责任编辑:孙可 sun_ke@cnw.com.cn]