Recientemente VMware ha lanzado una serie de actualizaciones de seguridad para corregir una vulnerabilidad crítica en algunos de sus productos. La vulnerabilidad se debía a un manejo inadecuado de los archivos de sesión y permite llevar a cabo el ataque «man-in-the-middle».
Para el que no lo conozca VMware, Inc. (la compañía detras de los productos VMware) es una empresa estadounidense que ofrece alojamiento en la nube, además de software y servicios virtualización. Afirma ser el primero en virtualizar con éxito la arquitectura x86 en el mercado.
Hoy os hablamos de VMware ya que la compañía ha lanzado una serie de actualizaciones de seguridad que eliminan la vulnerabilidad (CVE-2016-2076) en el paquete de cliente de VMware vSphere Client Integration Plugin (CIP), y en las soluciones implementadas en vCenter, vCloud Director, y vRealize Automation Identity Appliance. VMware vSphere Client Integration Plugin o CIP es un conjunto de utilidades que permite realizar ciertas operaciones administrativas en la infraestructura virtual. Estas utilidades están disponibles tanto para Microsoft Windows, como para Apple Mac OS X.
De acuerdo con la información publicada en el sitio web de la empresa, y tal y como os indicamos al comienzo, la vulnerabilidad era causada por un manejo inadecuado de los archivos de sesión y permitía llevar a cabo un ataque «man-in-the-middle», es decir, interceptar la sesión de un usuario con una página web especialmente diseñada para realizar esta tarea. Este error afectaba especialmente a los siguientes productos:
- vCenter Server 6.0 (versión 6.0 a la 6.0 U2)
- vCenter Server 5.5 U3a, U3B, U3C
- vCloud Director 5.5.5 para Windows
- vRealize Automation Identity Appliance para Linux
El problema no afecta a los productos como vCloud Director 8.0.0 y 8.0.1. Si posees alguno de estos productos, debes saber que antes de instalar las actualizaciones para las versiones afectadas del CIP tendrás que actualizar la versión actual de soluciones de vCenter Server, vCloud Director y vRealize Automatización Identidad Appliance.
Saludos desde lo más profundo de los bytes.
