Компания VMware устранила уязвимость раскрытия информации, которая присутствовала в ряде продуктов, использующих Java-технологию Flex BlazeDS для обмена данными.

Брешь типа XML eXternal Entity (использование внешних сущностей, ссылающихся на сторонние файлы, для записи спецсимволов в XML-документах) была изначально обнаружена в Apache Flex BlazeDS. В минувшем августе Маттиас Кайзер (Matthias Kaiser) из Code White GmbH рискнул опубликовать свою находку.

XXE-уязвимости характерны для веб-приложений, выполняющих парсинг входящих XML-данных. Такие баги можно использовать для слива защищенных файлов из сети.

В информационном бюллетене Apache Foundation отмечено, что CVE-2015-3269 подвержена версия Apache Flex BlazeDS 4.7.0. «При получении сообщения AMF с закодированными XML-данными, содержащего определенные в DTD сущности, дефолтные настройки парсера XML позволяют расширить сущности до локальных ресурсов, — поясняют разработчики. — В этом случае доступ к защищенному контенту можно получить с помощью запроса, включающего специально созданный параметр».

Список уязвимых продуктов VMware приведен в соответствующем бюллетене компании:

  • VMware vCenter Server 5.5 ниже версии 5.5 update 3;
  • VMware vCenter Server 5.1 ниже версии 5.1 update u3b;
  • VMware vCenter Server 5.0 ниже версии 5.0 update u3e;
  • vCloud Director 5.6 ниже версии 5.6.4;
  • vCloud Director 5.5 ниже версии 5.5.3;
  • VMware Horizon View 6.0 ниже версии 6.1;
  • VMware Horizon View 5.0 ниже версии 5.3.4.

«Продукты производства VMware, использующие Flex BlazeDS, могут некорректно обрабатывать запросы типа XML External Entity (XXE), — поясняет разработчик суть проблемы. — Отправка на сервер специально сформированного XML-запроса может привести к раскрытию непредусмотренной информации».

Категории: Уязвимости