VMware выпустила обновление своего продукта vCenter Server, устраняющее критическую брешь, которая может привести к выполнению кода. Существует она из-за использования уязвимого стороннего компонента.
Ранее в этом месяце были обнаружены три серьезных уязвимости в нескольких реализациях Java AMF3 - последней версии Action Message Format от Adobe.
Эти бреши могут быть использованы для осуществления DoS-атак, выполнения произвольного кода и получения конфиденциальных данных. Затронутое программное обеспечение включает в себя Apache’s Flex BlazeDS, Atlassian’s JIRA, Exadel’s Flamingo, GraniteDS, Spring spring-flex и WebORB.
Также было выявлено, что одна из уязвимостей BlazeDS, известная под идентификатором CVE-2017-5641, затрагивает VMware vCenter Server, который использует BlazeDS для обработки сообщений AMF3.
Подробная информация, включающая рекомендации и детали уязвимости, опубликована в официальном VMware.
Брешь затрагивает vCenter Server версий 6.0 и 6.5; версия 5.5 и другие продукты VMware не затронуты. VMware рекомендует пользователям установить обновления 6.5c и 6.0U3b, устраняющие этот недостаток.
Согласно , обнаруженные дыры в безопасности также могут затрагивать продукты HPE и SonicWall.
