上周四,VMware发布了几款产品更新,用以修复一个严重漏洞。
VMware客户端整体插件(CIP)为vSphere网络客户端虚拟机器的控制台提供访问权限,并允许用户将位于客户端计算机上的虚拟设备连接到一台虚拟设备上。
VMware表示,CIP并没有以安全的方式处理会话内容,导致攻击者可通过让vSphere网络客户端用户访问特殊编制网站的方式发动中间人攻击或会话劫持攻击。
该漏洞编号为CVE-2016-2076,存在于带有vCenter Server 5.5以及6.0版本的CIP版本中、vCloud Director 5.5.5的Windows版本、以及vRealize Automation Identity Appliance 6.2.4的Linux版本中。这个漏洞已通过vCenter Server 5.5 U3d和6.0 U2、vCloud Director 5.5.6以及vRealize Automation Identity Appliance 6.2.4.1的发布而修复。
VMware已通知用户需要更新vCenter Server、vCloud Director和vRealize Automation Identity Appliance。随后,用户必须更新系统中的CIP。
这是VMware今年以来发布的第四次安全更新。此前该公司曾修复了VMware工具中的一个权限升级漏洞。该漏洞是一个远程代码执行漏洞,存在于glibc库中。此外还修复了位于vRealize产品中的一个XSS漏洞。