安全研究
安全漏洞
VMware vCenter Orchestrator和Alive Enterprise远程代码执行漏洞
发布日期:2011-03-14
更新日期:2011-05-09
受影响系统:VMWare VMware vCenter Orchestrator 4.1
VMWare VMware vCenter Orchestrator 4.0
VMWare Alive Enterprise 7.2
描述:
BUGTRAQ ID:
41592
CVE(CAN) ID:
CVE-2010-1870
VMware vCenter Orchestrator是自动管理任务的应用程序。Alive Enterprise是监管进程的应用程序。
VMware vCenter Orchestrator和Alive Enterprise在实现上存在远程代码执行漏洞,两个产品中都嵌入了第三方组件Apache Struts,此组件中的远程代码执行漏洞可允许恶意用户绕过ParametersInterceptor内的'#'-usage保护,使服务器端context对象受控。
Struts 2.0.0至2.1.8.1的XWork中的OGNL扩展表达式评估功能使用了随意白名单,可使远程攻击者修改服务器端的context对象,并通过(1) #context, (2) #_memberAccess, (3) #root, (4) #this, (5) #_typeResolver, (6) #_classResolver, (7) #_traceEvaluations, (8) #_lastEvaluation, (9) #_keepLastEvaluation和其他OGNL context变量绕过ParameterInterceptors中的"#"保护机制。
<*链接:
http://www.auscert.org.au/render.html?it=14115
*>
建议:
厂商补丁:
VMWare
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.vmware.com浏览次数:2585
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |