VMware為其VMware View產(chǎn)品發(fā)布一個(gè)補(bǔ)丁，修復(fù)一個(gè)可能讓非授權(quán)用戶訪問(wèn)系統(tǒng)文件的安全漏洞。

VMware在提醒用戶注意這個(gè)問(wèn)題的安全公告中稱，VMware View產(chǎn)品包含一個(gè)嚴(yán)重的目錄遍歷安全漏洞。這個(gè)安全漏洞能夠讓未經(jīng)身份識(shí)別的遠(yuǎn)程攻擊者從受影響的VMware View服務(wù)器中提取二進(jìn)制文件。利用這個(gè)安全漏洞可能暴露存儲(chǔ)在這個(gè)服務(wù)器中的敏感信息。VMware發(fā)布的VMware View產(chǎn)品更新將免費(fèi)提供給這個(gè)產(chǎn)品的許可證擁有者，下載網(wǎng)址是：http://www.vmware.com/security/advisories/VMSA-2012-0017.html

位于德克薩斯州的風(fēng)險(xiǎn)審計(jì)公司Digital Defense今年秋季發(fā)現(xiàn)了這個(gè)安全漏洞并且在今年10月警告VMware注意這個(gè)問(wèn)題。這個(gè)問(wèn)題僅限于VMware View。這個(gè)產(chǎn)品允許機(jī)構(gòu)批準(zhǔn)訪問(wèn)某些虛擬機(jī)。DDI高級(jí)安全漏洞研究人員Javier Castro指出，大型機(jī)構(gòu)一般都使用它展示一種產(chǎn)品。

DDI在對(duì)VMware View系統(tǒng)進(jìn)行一系列安全漏洞測(cè)試時(shí)發(fā)現(xiàn)，一個(gè)以前曾獲準(zhǔn)訪問(wèn)一個(gè)虛擬機(jī)上的具體文件的客戶用戶能夠讓這個(gè)虛擬機(jī)獲取他無(wú)權(quán)訪問(wèn)的文件。這基本上是外部用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)的文件。這意味著一個(gè)潛在的入侵者可能訪問(wèn)一個(gè)網(wǎng)站服務(wù)器上的文件系統(tǒng)以訪問(wèn)敏感的散列密碼。DDI發(fā)現(xiàn)，這個(gè)目錄遍歷安全漏洞存在于運(yùn)行VMware View的連接服務(wù)器和安全服務(wù)器中。

DDI對(duì)VMware系統(tǒng)進(jìn)行了一系列的一般目錄遍歷安全漏洞檢查，通過(guò)把子目錄中的各種提示符字符串結(jié)合在一起發(fā)現(xiàn)了這個(gè)安全漏洞。Castro說(shuō)，VMware產(chǎn)品是“豐富的”，因?yàn)楦鶕?jù)其虛擬化的性質(zhì)，這些產(chǎn)品能夠訪問(wèn)許多虛擬機(jī)。目錄遍歷安全漏洞是黑客和安全漏洞審計(jì)者都關(guān)心的一個(gè)領(lǐng)域。他補(bǔ)充說(shuō)，VMware在最近幾個(gè)月似乎更善于審計(jì)第三方的工具以保證VMware在其產(chǎn)品和服務(wù)中使用的工具的任何更新和補(bǔ)丁都能夠在VMware的更新中反應(yīng)出來(lái)。