В продуктах VMware разработчик устранил две уязвимости


VMwareКомпания VMware, разработчик программного обеспечения для виртуализации, выпустил обновления для продуктов компании. Данным пакетом разработчик устраняет две уязвимости:

  • (CVE-2016-3427) - оценена как критическая;
  • (CVE-2016-2077) - получила статус важной.


CVE-2016-3427 - здесь ошибка связана с тем, как RMI-сервер в компоненте Oracle JRE JMX выполняет десериализацию аутентификационных данных. Эксплуатация уязвимости позволяет удаленному пользователю выполнить произвольный код. Проблеме подвержены следующие продукты:

  • vCenter Server 5.0, 5.1, 5.5 и 6.0 для Windows и Linux;
  • vSphere Replication 5.6.x, 5.8.x, 6.0.x и 6.1.x для Linux;
  • vCloud Director 5.5.x, 5.6.x и 8.0.x для Linux;
  • vRealize Operations Manager 6.x.


Патчи уже доступны для всех вышеуказанных решений, кроме vSphere Replication 6.1.x. Производитель утверждает, что уязвимость затрагивает продукт только в случае, если запущен агент vCloud Tunneling Agent.

CVE-2016-2077 - уязвимость повышения привилегий хоста. Проблема связана с тем, что VMware Workstation и Player для Windows некорректно ссылаются на один из исполняемых файлов. Эксплуатация ошибки позволяет локальному пользователю повысить свои привилегии на системе. Уязвимости подвержены:

  • VMware Workstation 11.x.x;
  • Player 7.x.x для Windows.


Напомним, в апреле 2016 года компанией VMware была исправлена опасная уязвимость в пакете VMware vSphere Client Integration Plugin (CIP), реализованном в решениях:

  • vCenter;
  • vCloud Director;
  • vRealize Automation Identity Appliance.

Обновлено (20.05.2016 16:44)