Schwachstelle in VMware vCenter Update Manager 4.x

Die in VMware vCenter Update Manager 4.x gemeldete Sicherheitslücke lässt sich für Enthüllung sensibler Informationen und Systeminformationen ausnutzen. Die Schwachstelle lässt sich nur vom lokalen System ausnutzen und ist als weniger kritisch eingestuft.

Auslöser der Lücke ist eine eingebettete Jetty-Version. bestimmte Anfragen an den HTTP-Server werden nicht ausreichend überprüft. Somit könnte sich Dokumente außerhalb des Dokumenten-Ordners lesen lassen. Ein erfolgreicher Angriff setzt voraus, dass das DefaultServlet mit aktivierter Unterstützung für Aliase verwendet wird oder die ResourceHandler-Klasse im Einsatz ist.

Die Sicherheitslücke ist für die Versionen 4.1 vor Update 2 oder 4.0 vor Update 4 bestätigt. Administratoren sollten die notwendigen Aktualisierungen einspielen: vmware.com (jdo)