Global Preloader
Noticia Internacional
(19/Apr/2017) VMware ha lanzado parches para su producto vCenter Server

VMware ha lanzado parches para su producto vCenter Server

VMware ha lanzado parches para su producto vCenter Server para solucionar una falla crítica de ejecución remota de código que existe debido al uso de un componente de terceros vulnerable.

A principios de este mes, CERT/CC informó a los usuarios que Markus Wulftange, probador de penetración en Code White, había identificado tres fallas potencialmente serias relacionadas con la deserialización en varias implementaciones Java de AMF3, la última versión del formato Action Message de Adobe.

Las vulnerabilidades pueden ser explotadas para ataques de denegación de servicio (DoS), ejecución remota de código y para obtener datos confidenciales. El software afectado incluye Flex BlazeDS de Apache, JIRA de Atlassian, Flamingo de Exadel, GraniteDS, Spring spring-flex y WebORB para Java de Midnight Coders.

Se ha encontrado que una de las vulnerabilidades de BlazeDS, registrada como CVE-2017-5641, afecta a VMware vCenter Server, que utiliza BlazeDS para procesar mensajes AMF3.

"El problema está presente en la funcionalidad del Programa de Mejora de la Experiencia del Cliente (CEIP). Si un cliente ha optado por el CEIP, la vulnerabilidad sigue estando presente. También opting out no eliminará la vulnerabilidad ", dijo VMware en su asesoramiento.

El agujero de seguridad afecta a vCenter Server 6.0 y 6.5; Versión 5.5 u otros productos de VMware no se ven afectados. VMware ha recomendado a los usuarios aplicar los parches 6.5c y 6.0U3b para solucionar la vulnerabilidad.

Según CERT / CC, las vulnerabilidades de deserialización identificadas por Wulftange también podrían afectar a los productos de HPE y SonicWall.