发布日期：2010-03-29
更新日期：2010-04-01

受影响系统：

VMWare VirtualCenter 2.5
VMWare VirtualCenter 2.0.2
VMWare ESX 3.5
VMWare ESX 3.0.3

不受影响系统：

VMWare VirtualCenter 2.5 Update 6
VMWare ESX 350-201003403-SG

描述：

---

BUGTRAQ  ID: 39106
CVE ID: CVE-2009-2277

VMWare是一款虚拟PC软件，允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。

可通过基于Struts的Web应用或胖客户端执行对VMWare的管理，以上二者都可以通过对XML web服务的SOAP调用影响所有的更改。基于Struts的web应用使用服务器端会话属性context_vmdirect存储各种设置，包括到XML web服务后端的URL。默认下该URL是http://localhost/sdk， 但可从客户端浏览器手动设置，其中的一个位置是/ui/vmDirect.do，如下向view参数传送base64编码值：

/ui/vmDirect.do?view=d3NVcmw9aHR0cDovL2xvY2FsaG9zdC9zZGsmdm1JZD1WaXJ0dWFsTWFjaGluZXwxMjgmdWk9OQ==_

解码后view值为：

wsUrl=http://localhost/sdk&vmId=VirtualMachine|128&ui=9

如果wsUrl更改为外部服务器，该会话的所有SOAP调用都会被发送到指定的服务器，包括明文认证凭据。

攻击者可以通过诱骗用户跟随到/ui/vmDirect.do链接并在view参数中传送受控的服务器来利用这个漏洞。由于context_vmdirect会话属性可设置为预认证，且可使用不同的凭据重新使用注销的会话，攻击者可以留下会话指向恶意Web服务的共享浏览器。

由于管理工具所使用的认证凭据基于基础的Linux用户账号，这种攻击可能导致完全入侵host服务器。

<*来源：David Byrne （davidribyrne@yahoo.com）
  
  链接：http://secunia.com/advisories/38384/
        http://marc.info/?l=bugtraq&m=127004919931827&w=2
        http://lists.vmware.com/pipermail/security-announce/2010/000086.html
*>

建议：

---

厂商补丁：

VMWare
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://downloads.vmware.com/download/download.do?downloadGroup=VC250U6
http://download3.vmware.com/software/vi/ESX350-201003403-SG.zip

浏览次数：2528
严重程度：0（网友投票）