VMware patcht kritisches Leck in vCenter

VMWare (Grafik: VMware)

In einigen Fällen konnte ein Angreifer beliebigen Code ausführen. US-CERT hatte vor den Osterfeiertagen vor dem Leck gewarnt.

VMware veröffentlicht einen Patch für ein kritisches Leck in der vCenter Server Platform. Über das Leck konnten Angreifer unter gewissen Umständen beliebigen Code in der Software ausführen. Betroffen sind vCenter 6.5 und 6.0. Mit den jetzt veröffentlichten Versionen 6.5c und 6.0U3b hat der Hersteller die Verwundbarkeiten behoben. Über den Fehler in VMware, warnt US-CERT, sollen Angreifer unter Umständen das gesamte System unter Kontrolle bringen können.

Betroffene Nutzer sollten möglichst schnell die Updates aufspielen, wie das Unternehmen in einem Blog erklärt. Zuvor hatte das US-CERT vor dem Leck CVE-2017-5641 gewarnt.

VMWare (Grafik: VMware)

Der Fehler in dem Verwaltungstool für Server und virtuelle Umgebungen liegt in der BlazeDS Library, der sich auch von Außerhalb des Systems ausnutzen lässt. Der eigentliche Fehler liegt in der Art, wie BlazeDS AMF3-Messages (Action Message Format 3) verarbeitet. Diese Technologie stammt ursprünglich von Adobe und ist eine Web-und Server-basierte Java-Technologie. Flash-Anwendungen und ActionScript-Objecte nutzen das Message-Format AMF3 für die Kommunikation und Serialisierung. Ein Angreifer kann nun beliebigen Code in das System einschleusen, wenn die BlazeDS ein nicht vertrauenswürdiges Java-Object deserialisiert.

Laut VMware ist CVE-2017-5641 in dem Customer Experience Improvement Program (CEIP) des Programms enthalten. Aber auch wenn diese Funktion deaktiviert ist, bleibe das Leck bestehen, warnt VMware.

PartnerZone

Effektive Meeting-und Kollaboration-Lösungen

Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.

Bereits Anfang des Monats hatte der deutsche Penetration-Tester Markus Wulftange von dem Sicherheitsunternehmen Code White den Fehler in AMF entdeckt und dazu umfangreiche Details veröffentlicht.

Vor etwa zwei Woche hatte Wulftange das Leck an US-CERT gemeldet und die Vermutung geäußert, dass neben VMware auch weitere Produkte von Atlassian, HPE, Exadel und SonicWall von dem Leck betroffen sein könnten. Unklar sei laut US-CERT nach wie vor, ob HPE, SonicWall oder Pivotal Spring über dieses Leck angegriffen werden können. Atlassian, Adobe und Apache Software Foundation hatten den Fehler in ihren Produkten bereits vor einigen Wochen behoben.