VMware выпустила обновления для vCenter, vCloud Director и Horizon
20.11.2015
Компания VMware выпустила обновления для решений по управлению виртуальной инфраструктурой vCenter, vCloud Director и Horizon, устраняющие брешь (CVE-2015-3269) в ПО Apache Flex BlazeDS. Уязвимость существует из-за ошибки при обработке XML-элементов и может привести к раскрытию важной информации.
XXE-уязвимость (XML External Entity) была обнаружена в BlazeDS - web-технологии передачи сообщений, встроенной в Adobe LiveCycle Data Services LiveCycle. В августе этого года Adobe устранила данную уязвимость, классифицированную как «важная», выпустив исправление для файла flex-messaging-core.jar.
Брешь затрагивает следующие продукты: версии VMware vCenter до 6.0, Horizon View 6.0, текущую версию vCloud Director 5.6.
XXE-уязвимости в web-приложениях, обрабатывающих XML-данные, могут быть использованы для вывода защищенных файлов из Сети. По словам экспертов, суть подобной уязвимости заключается в том, что входные XML-данные, содержащие ссылку на внешний элемент, обрабатываются некорректно сконфигурированным XML-парсером.
Стандартна шахрайська схема: зловмисники розміщували оголошення про продаж нерозмитнених автомобілів на популярних онлайн-платформах, отримували гроші від покупців, а потім переривали зв’язок.
За допомогою ботнетів зловмисники влаштовують килимові бомбардування компаній, коли запускаються DDoS-атаки, націлені відразу на великий діапазон адрес або підмереж, які можуть містити сотні або навіть тисячі...
Дані, введені користувачами на фішингових сайтах, автоматично ставали відомі обвинуваченим. У такий спосіб зловмисники отримували доступ до інтернет-банкінгу жертв та привласнювали їх заощадження.
Відповідні оголошення розміщувалися на популярному в Україні торгівельному онлайн-майданчику. Один із підозрюваних підшукував банківські картки так званих дропів і продавав їх своєму спільнику...