Llegamos a ustedes gracias a:



Noticias

VMware corrige vulnerabilidades en vCenter, vSphere, ESX y ESXi

[22/10/2013] A fin de solucionar las vulnerabilidades detectadas en algunos de sus productos, VMware ha lanzado una serie de parches de seguridad para sus soluciones vCenter Server, vCenter Server Appliance, vSphere Update Manager, ESX y ESXi. Según la compañía, la vulnerabilidad más grave es una falla que afecta a las versiones 5.0 y 5.1 de vCenter Server, la cual podría permitir a un atacante eludir la necesidad de proporcionar credenciales válidas en determinadas circunstancias. Para que la vulnerabilidad sea explotable, el producto afectado se debe implementar en un entorno de Active Directory, señala VMware.
 "Cuando vCenter Server se despliega en un entorno que utiliza Active Directory (AD) con la vinculación anónima LDAP habilitada, no maneja adecuadamente las credenciales de inicio de sesión. En este entorno, la autenticación en vCenter Server con un nombre de usuario válido y una contraseña en blanco puede tener éxito, incluso si para acceder a la cuenta se requiere que la contraseña no esté en blanco", señala el aviso emitido por VMware.
También existe una vulnerabilidad de fijación de sesión en el vSphere Web Client Server, a través de la cual un atacante podría obtener elevación de privilegios. La explotación de la vulnerabilidad requiere disponer de algún conocimiento de la sesión del usuario. Según VMware, VMware vSphere Web Client Server contiene una vulnerabilidad en el manejo de los identificadores de sesión. Para aprovechar esta vulnerabilidad, un atacante debe conocer un ID de sesión válido de un usuario autenticado, señala la empresa.
Finalmente, la vulnerabilidad en ESX y ESXi es un defecto en hostd-vmdb que podría permitir a un atacante provocar una denegación de servicio. Para aprovechar esta vulnerabilidad, el atacante tendría que interceptar y modificar el tráfico de administración.
VMWare ha lanzado una serie de parches que resuelven estas vulnarabilidades. Más información sobre éstas y el link para descargar los parches, se pueden encontrar aquí.
Brandon Butler, Network World (EE.UU.)