For nylig har VMware frigivet en række sikkerhedsopdateringer for at løse en kritisk sårbarhed i et af sine produkter. Sårbarheden skyldes forkert håndtering af sessionsfiler og gør det muligt at udføre angrebet "mand i midten".
[dropcap] VMware [/ dropcap], Inc. er en Amerikansk firma der leverer cloud- og virtualiseringssoftware og -tjenester, og hævder at være den første til succesfuldt at virtualisere x86-arkitekturen kommercielt og for nylig VMware har frigivet et antal sikkerhedsopdateringer, der fjerner sårbarheden (CVE-2016-2076) i pakken VMware vSphere Client Integration Plugin (CIP), de implementerede løsninger i vCenter, vCloud Director og vRealize Automation Identity Apparatet.
CIP - Toolkit fra VMware, som er et sæt hjælpeprogrammer til visse administrative operationer i den virtuelle infrastruktur. Hjælpeprogrammer er tilgængelige både til Microsoft Windows såvel som til Apple Mac OS X.
Ifølge Prevention, offentliggjort på virksomheden
internet side, er sårbarheden forårsaget af forkert håndtering af sessionsfiler og giver mulighed for at udføre angrebet "mand i midten" eller opfange en brugers session med en specielt dannet webside. Fejl udsat for følgende produkter:vCenter Server 6.0 (version 6.0 til 6.0 U2)
vCenter Server 5.5 U3a, U3b, U3c
vCloud Director 5.5.5 til Windows
vRealize Automation Identity Appliance 6.2.4 til Linux
Problemet påvirker ikke produkter vCloud Director 8.0.0 og 8.0.1. Inden du installerer opdateringerne til berørte versioner af CIP skal opdatere den aktuelle version af vCenter Server-løsninger, vCloud Director og vRealize Automation Identity Apparatet. Men nu virksomheden VMware lykkedes med succes at lappe sårbarheden og siden februar's generende problem med glibc at blive betragtet som kritisk af virksomheden.