VMware устранила опасную уязвимость в своих продуктах

Компания VMware выпустила ряд обновлений безопасности, устраняющих уязвимость (CVE-2016-2076) в пакете VMware vSphere Client Integration Plugin (CIP), реализованном в решениях vCenter, vCloud Director и vRealize Automation Identity Appliance.  

CIP - пакет средств от VMware, представляющий собой набор утилит для некоторых административных операций в виртуальной инфраструктуре. Утилиты доступны как для Microsoft Windows, так и для Apple Mac OS X.

Согласно предупреждению, опубликованному на сайте компании, уязвимость существует из-за некорректной обработки файлов сессии и позволяет осуществить атаку «человек посередине» или перехватить сессию пользователя при помощи специально сформированной web-страницы. Ошибке подвержены следующие продукты:

-vCenter Server 6.0 (любая версия 6.0 до 6.0 U2)

-vCenter Server 5.5 U3a, U3b, U3c  

-vCloud Director 5.5.5 для Windows

-vRealize Automation Identity Appliance 6.2.4 для Linux

Проблема не затрагивает продукты vCloud Director 8.0.0 и 8.0.1. Перед установкой обновлений для уязвимых версий CIP потребуется обновить текущие версии решений vCenter Server, vCloud Director и vRealize Automation Identity Appliance.