VMware обновила заплатку для критической RCE-уязвимости в vCenter Server, продукте для управления серверами в виртуализированной среде. Разработчик уже пытался закрыть эту брешь в минувшем октябре, но патч оказался неполным.

Уязвимость CVE-2015-2342 кроется в неправильно сконфигурированном сервисе Java Management Extensions (JMX), которым можно манипулировать удаленно без аутентификации. Согласно VMware, эта проблема актуальна для vCenter Server версий 5.5, 5.1 и 5.0.

В новом информационном бюллетене компания признала, что октябрьский патч несовершенен и требует дополнения, хотя активация штатного брандмауэра в Windows-системе, использующей vCenter Server, способна пресечь удаленное исполнение кода. «Даже при включенном Windows Firewall пользователям рекомендуется установить дополнительный патч, чтобы закрыть возможность для локального повышения привилегий», — пишут разработчики в бюллетене.

Напомним, октябрьское обновление от VMware устранило еще один баг в vCenter Server — возможность отказа в обслуживании. Тогда же была исправлена ошибка, возникающая при выполнении функции SLPDProcessMessage() протокола OpenSLP, используемого гипервизором ESXi. Она привнесла уязвимость, которая позволяла удаленному пользователю запустить код или вызвать крэш на хосте ESXi.

Категории: Уязвимости