VMware 警告称 Apache 与 Adobe 存在信息泄露问题

E安全小编提醒大家应当抓紧时间升级至 vCenter 6.0。

VMware 公司已经向其 vCenter、vCloud Director 以及 Horizon 产品用户发出警告，指出他们需要尽快修复 Flex BlazeDS 当中的一项安全漏洞。

这个编号为 CVE-2015-3269 的安全漏洞将导致 Apache Flex BlazeDS“允许远程攻击者利用 AMF 信息承载一条 XML 外部实体声明以实现对一项 XML External Entity（简称 XXE）问题的引用，从而读取任意文件。”这款 Apache 软件会在“被 Adobe LiveCycle Data Services 内的 flex-messaging-core.jar 所使用”时造成上述问题。该 CVE 同时提醒大家，上述解释适用于该 Adobe 软件的多个版本，意味着其多数版本皆存在此问题。

VMware 公司为该安全漏洞开出了一剂良方，vCenter 6.0 版本对其完全免疫。目前正在使用5.x版本的用户需要额外安装补丁，因此可能部分用户会选择直接升级至6.0版本以彻底将其解决。Horizon View 6.0 用户及其它运行有现行 vCloud Director 版本（即5.6版本）的用户则没那么幸运：他们需要根据 VMware 的建议下载更新，否则将导致自身直接暴露在“恶意攻击者将特制XML请求发往服务器，从而造成意料之外的信息泄露状况”这一风险当中。

文章转载自 开源中国社区[https://www.oschina.net]