Выпущенные на этой неделе VMware обновления продуктов Horizon View Client и vSphere Data Protection (VDP) устраняют в общей сложности три серьезные уязвимости.
Опубликованное компанией информирует пользователей о том, что в версиях VDP 5.5.x, 5.8.x, 6.0.x и 6.1.x имеются две серьезные бреши. Первая относится к десериализации Java, вторая к управлению учетными данными.
О проблеме десериализации, получившей идентификатор CVE-2017-4914, VMware сообщили Тим Робертс, Артур Чилиплели и Келли Коррелл из NTT Security. По словам компании, этот недостаток можно использовать удаленно для выполнения произвольных команд на уязвимых устройствах.
Вторая уязвимость, влияющая на VDP, получила идентификатор CVE-2017-4917, о ней сообщил Марк Стрёбель из HvS-Consulting. Стрёбель обнаружил, что локально сохраненные учетные данные vCenter Server плохо зашифрованы, что позволяет злоумышленнику получить информацию в виде открытого текста.
Пользователям данного продукта рекомендуется обновить его до версий 6.0.5 или 6.1.4. Также стоит отметить, что VMware недавно объявила о своем намерении выпуск продукта VDP.
сообщение, опубликованное VMware на этой неделе, описывает уязвимость внедрения команд, которая влияет на VMware Horizon View Client для Mac.
Эта брешь отслеживается как CVE-2017-4918, затрагивает версии View Client 2.x, 3.x и 4.x. С выпуском версии 4.5 она была устранена.