VMware WebAccess URL转发安全漏洞

受影响系统:

VMWare Server 2.0
VMWare VirtualCenter 2.5
VMWare VirtualCenter 2.0.2
VMWare ESX 3.5
VMWare ESX 3.0.3

描述:

VMWare是一款虚拟PC软件,允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。

VMWare的WebAccess组件没有充分地验证用户所提供的输入,允许将入站请求转发到其他目的地。所转发的目标无法看到请求URL的真实来源,只能看到运行WebAccess的机器地址。攻击者可以利用这个转发漏洞伪造源址定向服务器上通讯。

<*来源:John Fitzpatrick
  
  链接:
http://secunia.com/advisories/38384/
        http://lists.vmware.com/pipermail/security-announce/2010/000086.html
        http://secunia.com/advisories/39189/
*>

建议:

厂商补丁:

VMWare
——
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.vmware.com

发表评论?

0 条评论。

发表评论