Categories: Cloud

Zwei Cross-Site-Scripting-Lücken in VMware vRealize behoben

VMware behebt “wichtige” Schwachstellen in dem Cloud-Management-Tool vRealize. Über diese Lecks konnte ein Angreifer Business-Workstations übernehmen und beliebigen Code ausführen. Die beiden Schwachstellen CVE-2015-2344 und CVE-2016-2075 sind beide Cross-Site Scripting Lecks (XSS).

Der Angrifss-Code kann in vRealize Automation sowie VMware vRealize Business Advanced und Enterprise clientseitig ausgeführt werden.

Beide Anfälligkeiten sind nur auf Linux-Systemen gegeben, Windows-Installationen sind nicht betroffen. CVE-2015-2344 steckt in VMware vRealize Automation 6.x vor Version 6.2.4. Sie wurde VMware von dem unabhängigen Sicherheitsforscher Lukasz Plonka gemeldet. Alvaro Trigo Martin de Vidales aus der Sicherheitsabteilung von Deloitte meldete das zweite Problem, das in VMware vRealize Business Advanced und Enterprise 8.x vor 8.2.5 steckt.

VMware rät, die Aktualisierungen so schnell wie möglich einzuspielen. Kurz zuvor hatte es einen Fix für ein Problem herausgegeben, das es eigentlich schon mit einem Patch vom Oktober 2015 behoben zu haben glaubte. Es handelte sich um eine kritische Anfälligkeit in vCenter Server, die Remote-Codeausführung ermöglichte.

Annette Maier ist seit Anfang Februar Country Manager Deutschland von VMware. (Bild: VMware)

Im Januar entließ VMware 800 Mitarbeiter, als seine Quartalsbilanz zwar besser als erwartet ausfiel, aber der schwache Ausblick für 2016 den Kurs um über 8 Prozent abtauchen ließ. Ein Restrukturierungsplan soll Investitionen in Wachstumsfelder ermöglichen. Die Stellenstreichungen treffen vor allem die Cloud-Plattform vCloud Air. Darüber hinaus gibt es in Deutschland seit einigen Wochen mit Annette Maier eine neue Geschäftsführerin.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

10 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

11 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago