ترمیم یک ضعف امنیتی در محصولات VMware

شرکت VMware یک آسیب پذیری را در آن دسته از نرم افزارهای این شرکت که از Flex BlazeDS استفاده می کنند ترمیم کرده است.

به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت VMware، سوءاستفاده موفقیت آمیز از این آسیب پذیری، می تواند منجر به نشت داده ها شود.

وجود این ضعف امنیتی، با شناسه CVE-2015-3269، در Apache Flex BlazeDS در ماه آگوست کشف شد. بنیاد Apache نیز، در همان ماه، با ارائه نسخه 4.7.1 این ضعف را در Flex BlazeDS ترمیم کرد. اما با توجه به اینکه بسیاری از نرم افزاری شرکت VMware نیز از توابع Flex BlazeDS در کدهای خود استفاده می کنند، آنها نیز به این ضعف امنیتی، آسیب پذیر بوده اند.

ضعف امنیتی Flex BlazeDS، سبب می گردد زمانی که یک پیام درخواست دست کاری شده XML، از نوع Action Message Format و حاوی اجزای Document Type Definition، به پردازشگر XML ارسال می شود، امکان دسترسی به منابع محلی همچون فایل های ذخیره شده بر روی شبکه فراهم شود.

شرکت VMware محصولات زیر را آسیب پذیر اعلام کرده:

VMware vCenter Server 5.5، نسخه های قبل از 5.5 با به روز رسانی 3
VMware vCenter Server 5.1، نسخه های قبل از 5.1 با به روز رسانی u3b
VMware vCenter Server 5.0، نسخه های قبل از 5.0 با به روز رسانی u3e

vCloud Director 5.6، نسخه های قبل از 5.6.4
vCloud Director 5.5، نسخه های قبل از 5.5.3

VMware Horizon View 6.0، نسخه های قبل از 6.1
VMware Horizon View 5.0، نسخه های قبل از 5.3.4