VMware为其VMware View产品发布一个补丁,修复一个可能让非授权用户访问系统文件的安全漏洞。
VMware在提醒用户注意这个问题的安全公告中称,VMware View产品包含一个严重的目录遍历安全漏洞。这个安全漏洞能够让未经身份识别的远程攻击者从受影响的VMware View服务器中提取二进制文件。利用这个安全漏洞可能暴露存储在这个服务器中的敏感信息。VMware发布的VMware View产品更新将免费提供给这个产品的许可证拥有者,下载网址是:http://www.vmware.com/security/advisories/VMSA-2012-0017.html
位于德克萨斯州的风险审计公司Digital Defense今年秋季发现了这个安全漏洞并且在今年10月警告VMware注意这个问题。这个问题仅限于VMware View。这个产品允许机构批准访问某些虚拟机。DDI高级安全漏洞研究人员Javier Castro指出,大型机构一般都使用它展示一种产品。
DDI在对VMware View系统进行一系列安全漏洞测试时发现,一个以前曾获准访问一个虚拟机上的具体文件的客户用户能够让这个虚拟机获取他无权访问的文件。这基本上是外部用户访问内部网络的文件。这意味着一个潜在的入侵者可能访问一个网站服务器上的文件系统以访问敏感的散列密码。DDI发现,这个目录遍历安全漏洞存在于运行VMware View的连接服务器和安全服务器中。
DDI对VMware系统进行了一系列的一般目录遍历安全漏洞检查,通过把子目录中的各种提示符字符串结合在一起发现了这个安全漏洞。Castro说,VMware产品是“丰富的”,因为根据其虚拟化的性质,这些产品能够访问许多虚拟机。目录遍历安全漏洞是黑客和安全漏洞审计者都关心的一个领域。他补充说,VMware在最近几个月似乎更善于审计第三方的工具以保证VMware在其产品和服务中使用的工具的任何更新和补丁都能够在VMware的更新中反应出来。