quinta-feira, 19 de novembro de 2015

VMware avisa sobre vazamentos de informações decorrentes do Apache-Adobe

A VMware alertou usuários de seus produtos vCenter, vCloud Director e Horizon que eles precisam corrigir uma falha no Flex BlazeDS.


Vmware

A falha, CVE-2015-3269, significa que Adobe Flex BlazeDS "permite que atacantes remotos leem arquivos arbitrários através de uma mensagem AMF contendo uma declaração de entidade externa XML em conjunto com uma referência de entidade, relacionada com um problema de Entidade Externa XML (XXE)." O software Apache cria problemas quando "usado no flex-messaging-core.jar no Adobe LiveCycle Data Services". O aviso CVE no link acima explica as muitas versões do software Adobe que tem o problema.



Há uma fresta de esperança nesta bug para VMware, como vCenter 6.0 é imune a ela. Usuários de versões 5.x precisa implementar uma correção, então talvez alguns vão percorrer todo o caminho e vá para a versão 6.0. Usuários Horizon View 6.0 e aqueles que executam a versão atual do Director vCloud (5.6) não têm tanta sorte: ou pode baixar as atualizações que a VMware sugere ou ficar expostos ao risco de que "A pedido XML especialmente criado enviado para o servidor poderia levar a informação não intencional ser divulgado.