发布日期：2012-12-13
更新日期：2012-12-17

受影响系统：

VMWare View 5.x
VMWare View 4.x

描述：

---

BUGTRAQ  ID: 56942
CVE(CAN) ID: CVE-2012-5978

VMware View是企业虚拟桌面管理软件。

VMware View v4.6.2、5.1.2之前版本的tunnel-server组件未能确保每个请求的URL引用一个位于服务器Web root上合法类型的文件。未经过身份验证的远程攻击者可利用此漏洞检索受影响服务器root目录下的任意文件。通过提交经过URL编码的HTTP GET请求，即可遍历目标目录。

<*来源：Digital Defense, Inc.
  
  链接：http://seclists.org/bugtraq/2012/Dec/100?utm_source=twitterfeed&utm_medium=twitter
        http://packetstormsecurity.org/files/cve/CVE-2012-5978
        http://www.vmware.com/security/advisories/VMSA-2012-0017.html
*>

建议：

---

临时解决方法：

* 禁用Security Server

* 用ips或者防火墙阻止目录遍历尝试

厂商补丁：

VMWare
------
VMWare已经为此发布了一个安全公告（VMSA-2012-0017）以及相应补丁:

VMSA-2012-0017：VMSA-2012-0017

链接：http://www.vmware.com/security/advisories/VMSA-2012-0017.html

补丁下载：

http://downloads.vmware.com/d/info/desktop_downloads/vmware_view/4_6

https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computing/vmware_view/5_1

浏览次数：3713
严重程度：0（网友投票）