新闻链接：435K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3k6J5k6h3g2T1N6h3k6Q4x3X3g2U0L8$3#2Q4x3V1k6F1k6i4N6K6i4K6u0r3y4e0x3&6x3e0W2Q4x3X3g2Z5N6r3#2D9
   新闻时间：2014-12-10
   新闻正文：

VMware本周发布了一系列补丁修复多个漏洞，包括其服务器虚拟化平台。

漏洞存在于VMware的vCenter Server Appliance (vCSA)中，一个VMware vCenter服务器的一个组件。最主要的XSS漏洞(CVE-2014-3797)是由Trustware Spiderlabs研究员Tanya Secker发现的。黑客可以利用该漏洞让用户点击恶意链接。漏洞只影响vCSA 5.1系统，受影响的用户可以升级到5.1 Update3。

另一个漏洞(CVE-2014-8371)是由Google安全团队发现的。这个漏洞能够让攻击者使用中间人攻击Common Information Model (CIM)服务。主要问题在于，在此之前，vCenter Server连接CIM服务器时并不会正确地验证证书。运行所有版本vCenter服务器的用户们都受此证书漏洞的影响。影响用户可以替换或者打上补丁，他们可以升级到5.5 Update 2, 5.1 Update 3或者是5.0 Update 3c，取决于他们的当前版本。

六个CVE公共漏洞来自于第三方提供的库:ESXi Python, ESXi Curl和ESXi libxml2。但VMware并不打算为较老版本的ESX 5.0系统发布补丁，VMware已经为ESXi 5.1系统推送了补丁，但尚未有针对新版本ESXi 5.5的补丁。
VMware这次还更新了受Oracle Java SE关键安全漏洞影响的vCenter Server和vCenter Update Manager。但每个产品都有差异所以5.0版本已有补丁，5.1还未修复，5.5版本则不受此影响。

具体漏洞详情参见此处f45K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6K6i4K6u0W2N6X3#2%4j5i4u0W2i4K6u0W2j5$3!0E0i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3V1j5J5x3o6p5@1i4K6u0r3x3e0u0Q4x3V1k6U0K9r3q4F1k6$3g2K6i4K6u0V1N6s2u0S2L8Y4y4H3j5i4u0W2L8Y4c8Q4x3X3c8H3j5h3N6W2i4K6u0V1M7$3S2S2M7X3W2F1k6#2)9J5k6s2u0W2L8h3W2F1k6r3g2J5i4K6u0V1L8X3g2%4i4K6u0V1N6i4m8V1j5i4c8W2k6q4)9J5k6s2k6E0N6$3q4J5k6g2)9J5k6s2y4W2j5%4g2J5K9i4c8&6i4K6u0V1j5h3c8$3K9i4y4G2M7X3W2W2M7#2)9J5k6h3S2@1L8h3H3`.
VMware提醒用户查看版本注释并及时修补补丁。

[参考来源Threatpost & VMware，译/Sphinx，转载请注明来自Freebuf.COM]

[培训]科锐逆向工程师培训第53期2025年7月8日开班！