Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

VMware vCenter Server < 5.0 Update 3g VMware vCenter Server < 5.1 Update 3d VMware vCenter Server < 5.5 Update 2d Betroffene Plattformen: VMware vCenter Server Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle in VMware vCenter Server für einen Cross-Site-Scripting-Angriff (reflected XSS) ausnutzen, indem er einen Benutzer dazu verleitet, innerhalb des vSphere Web Clients auf einen speziell präparierten Link zu klicken. Der Hersteller VMware informiert darüber, dass der vCenter Server auf allen Betriebssystemen betroffen ist und stellt Sicherheitsupdates zur Verfügung. Patch: VMware Security Advisories VMSA-2016-0009 https://www.vmware.com/security/advisories/VMSA-2016-0009.html

CVE-2015-6931: Schwachstelle in VMware vCenter Server ermöglicht
Cross-Site-Scripting-Angriff

Im VMware vCenter Server existiert eine nicht näher beschriebene Reflected
Cross-Site-Scripting-Schwachstelle, die aufgrund der unzureichenden
Bereinigung von Eingaben besteht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0961/

VMware Security Advisories VMSA-2016-0009:
https://www.vmware.com/security/advisories/VMSA-2016-0009.html

Schwachstelle CVE-2015-6931 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6931

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.