E安全小编提醒大家应当抓紧时间升级至 vCenter 6.0。
VMware 公司已经向其 vCenter、vCloud Director 以及 Horizon 产品用户发出警告,指出他们需要尽快修复 Flex BlazeDS 当中的一项安全漏洞。
这个编号为 CVE-2015-3269 的安全漏洞将导致 Apache Flex BlazeDS“允许远程攻击者利用 AMF 信息承载一条 XML 外部实体声明以实现对一项 XML External Entity(简称 XXE)问题的引用,从而读取任意文件。”这款 Apache 软件会在“被 Adobe LiveCycle Data Services 内的 flex-messaging-core.jar 所使用”时造成上述问题。该 CVE 同时提醒大家,上述解释适用于该 Adobe 软件的多个版本,意味着其多数版本皆存在此问题。
VMware 公司为该安全漏洞开出了一剂良方,vCenter 6.0 版本对其完全免疫。目前正在使用5.x版本的用户需要额外安装补丁,因此可能部分用户会选择直接升级至6.0版本以彻底将其解决。Horizon View 6.0 用户及其它运行有现行 vCloud Director 版本(即5.6版本)的用户则没那么幸运:他们需要根据 VMware 的建议下载更新,否则将导致自身直接暴露在“恶意攻击者将特制XML请求发往服务器,从而造成意料之外的信息泄露状况”这一风险当中。