发布日期:2012-12-13
更新日期:2012-12-17
受影响系统:
VMWare View 5.x
VMWare View 4.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56942
CVE(CAN) ID: CVE-2012-5978
VMware View是企业虚拟桌面管理软件。
VMware View v4.6.2、5.1.2之前版本的tunnel-server组件未能确保每个请求的URL引用一个位于服务器Web root上合法类型的文件。未经过身份验证的远程攻击者可利用此漏洞检索受影响服务器root目录下的任意文件。通过提交经过URL编码的HTTP GET请求,即可遍历目标目录。
<*来源:Digital Defense, Inc.
链接:?utm_source=twitterfeed&utm_medium=twitter
*>
建议:
--------------------------------------------------------------------------------
临时解决方法:
* 禁用Security Server
* 用ips或者防火墙阻止目录遍历尝试
厂商补丁:
VMWare
------
VMWare已经为此发布了一个安全公告(VMSA-2012-0017)以及相应补丁:
VMSA-2012-0017:VMSA-2012-0017
补丁下载:
https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computing/vmware_view/5_1