VMware исправила уязвимости в ПО vCenter Server и ESXi

Брешь в vCenter была впервые обнаружена ИБ-исследователем из эдинбургской компании 7 Elements Дугом Маклеодом (Doug McLeod) в начале текущего года. Эксперты работали совместно с VMware для того, чтобы успеть выпустить обновление до официального раскрытия брешей в четверг, 1 октября.

Уязвимость, которой подвержены версии vCenter Server от 5.0 до 6.0 на всех поддерживаемых платформах, включает в себя неправильно сконфигурированный сервис Java Management Extensions. Брешь позволяет манипулировать Java Management Extensions удаленно и без аутентификации.

Вторая уязвимость в vCenter была обнаружена исследователями из Google. Брешь позволяет злоумышленнику вызвать отказ в обслуживании с помощью специально сформированного вредоносного сообщения.

VMware также исправила уязвимость гипервизора ESXi, которая связана с протоколом OpenSLP. Злоумышленник, эксплуатирующий брешь распределения памяти в ПО, потенциально может удаленно выполнить код на хосте ESXi. Обнаруженная экспертами китайской ИБ-компании Qihoo 360 брешь влияет на версии ESXi 5.0, 5.1 и 5.5.

Компания VMware призывает пользователей vCenter Server и ESXi установить обновление, устраняющее уязвимости.