Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

VMware vSphere Client 4.0
VMware vSphere Client 4.1
VMware vSphere Client 5.0
VMware vSphere Client 5.1

Betroffene Plattformen:

VMware vSphere Client

Es bestehen mehrere Schwachstelle innerhalb der vSphere Client Software. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen
nutzen, um beliebigen Programmcode zur Ausführung zu bringen und
Sicherheitsvorkehrungen zu umgehen.

Patch:

vmware Hersteller-Advisory

https://www.vmware.com/security/advisories/VMSA-2014-0003.html

CVE-2014-1210: Schwachstelle in vSphere Client

Es besteht eine Schwachstelle innerhalb des vSphere Clients bezüglich der
Überprüfung von Server Sicherheitszertifikaten. Ein entfernter, nicht
authentifizierter Angreifer kann vorgeben ein vCenter Server zu sein und den
Client/Benutzer entsprechend auf manipulierte Inhalte umleiten.

CVE-2014-1209: Schwachstelle in vSphere Client

Es besteht eine Schwachstelle bei der Verarbeitung von Dateien durch den
vSphere Client. Dieser prüft nicht, ob die Daten von einer
vertrauenswürdigen Quelle stammen. Ein entfernter, nicht authentifizierter
Angreifer kann durch eine speziell manipulierte Client Datei beliebige URI’s
aufrufen bzw. beliebigen Programmcode zur Ausführung bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0442/

vmware Hersteller-Advisory:
https://www.vmware.com/security/advisories/VMSA-2014-0003.html

Schwachstelle CVE-2014-1209 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1209

Schwachstelle CVE-2014-1210 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1210

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.