S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 18 novembre 2011
N° CERTA-2011-AVI-647
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: VMware vCenter Update Manager

Gestion du document

Référence CERTA-2011-AVI-647
Titre VMware vCenter Update Manager
Date de la première version18 novembre 2011
Date de la dernière version18 novembre 2011
Source(s) Bulletin de sécurité VMware VMSA-2011-0014

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

  • vCenter Update Manager version 4.0 antérieure à Update 4.
  • vCenter Update Manager version 4.1 antérieure à Update 2 ;

Résumé

Une vulnérabilité dans vCenter Update Manager permet de parcourir des répertoires.

Description

La vulnérabilité provient de l'application tierce Jetty Web intégrée à vCenter Update Manager. La manière dont l'application tierce est configurée permet à une personne malintentionnée de parcourir des répertoires.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 18 novembre 2011
    version initiale.