اصلاحیه های VMware برای vCentre ,ESX و vSphere

شرکت VMware مجموعه ای از اصلاحیه های امنیتی را برای رفع نقاط ضعف تعدادی از محصولات خود، ازجمله ESXi, ESX, VSphere update Manager, vCentre server منتشر کرد.

سوء استفاده موفق از برخی از این نقاط ضعف می تواند باعث دور زدن مرحله تائید هویت (Authentication) و یا ایجاد حملات “از کاراندازی سرویس” (Denial of Services) در تعدادی از این محصولات آسیب پذیر شود.

یکی از مهمترین نقاط ضعف اصلاح شده در محصول vCentre Server است که امکان دور زدن مرحله تائید هویت را برای فرد نفوذگر فراهم می کند. سوء استفاده از این نقطه ضعف فقط در محیط Active Directory امکان پذیر است.

در محیط Active Directory که گزینه Anonymous LDAP فعال است، محصول  vCentre Server به درستی قادر به کنترل و تائید مشخصات Login نیست. در چنین شرایطی، دسترسی به vCentre Server با یک نام کاربری معتبر و بدون رمز عبور (Blank Password) امکان پذیر می باشد. این نقطه ضعف در نسخه های 5.0، 5.1، 5.1a و 5.1b وجود دارد و با اصلاحیه Update 1 برطرف می شود.

همچنین سوء استفاده از یک نقطه ضعف در محصول vSphere Web Client Server می تواند شرایط ارتقاء اختیارات کاربر را فراهم آورد.

بعلاوه نقطه ضعفی در محصول ESXi و ESX در بخش Hostd-vmdb می تواند انجام حملات “از کاراندازی سرویس” را امکان پذیر سازد.

شرکت VMware علاوه بر انتشار اصلاحیه هایی برای محصولات خود، اقدام به بروز رسانی برخی فایل های library شرکت های ثالث نظیر OpenSSL در تعدادی از محصولات خود کرده است.