De Hispasec – Una al Día: Cross-site scripting en VMware vCenter Server (28/05/2016)

Saludos nuevamente.

Durante estos últimos 4 días se ha publicado mucha información interesante, inclusive me tropecé con un blog argentino que publica noticias sobre seguridad informática (blog que añadiré a mi lista de sitios de lectura). No voy a dar reseñas de las mismas porque sería añadir elementos innecesarios, dado que las propias noticias son escuetas y directas. Sin más, aquí les van:

Cross-site scripting en VMware vCenter Server

sábado, 28 de mayo de 2016

VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en vCenter Server que podrían permitir a un atacante construir ataques de cross-site scripting.

vmware-logo

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

Apenas una semana después de haber publicado actualizaciones para un gran número de productos por dos vulnerabilidades, VMware publica un nuevo aviso de seguridad para solucionar una vulnerabilidad considerada como importante por la propia firma.

El problema, con CVE-2016-2078, reside en el cliente web vSphere por un filtrado inadecuado de los datos introducidos por el usuario en el parámetro flash que podría permitir la construcción de ataques de cross-site scripting.

Afecta a versiones vCenter Server 6.0, 5.5 y 5.1 para Windows.

VMware ha publicado las siguientes actualizaciones:

vCenter Server 6.0 update 2

vCenter Server 5.5 update 3d

vCenter Server 5.1 update 3d

Disponibles desde vCenter Server:

https://www.vmware.com/go/download-vsphere

Más información:

VMSA-2016-0006

VMware vCenter Server updates address an important cross-site scripting issue

http://www.vmware.com/security/advisories/VMSA-2016-0006.html

una-al-dia (21/05/2016) Actualización para múltiples productos VMware

http://unaaldia.hispasec.com/2016/05/actualizacion-para-multiples-productos.html

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Seguridad, Tecnología, Virtualización, VMware, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *