취약점 정보1
VMware 보안 업데이트 권고
Ryansecurity
2016. 8. 8. 19:56
□ 개요
o VMware社는 임의코드실행 취약점 등을 해결한 보안 업데이트를 발표[1]
o 영향 받는 버전의 사용자는 최신 버전으로 업데이트 권고
□ 설명
o 공격자가 DLL 하이재킹 취약점을 이용하여 Vmware Tools 공유폴더(HGFS 기능)에서 임의 코드 실행이 가능한 취약점(CVE-2016-5330)
o 공격자가 HTTP Header Injection 취약점으로 XSS 공격 또는 임의의 URL로 리다이렉션이 가능한 취약점(CVE-2016-5331)
□ 영향 받는 소프트웨어
o DLL 하이재킹 취약점 | 항목 | OS환경 | 영향 받는 버전 | 최신 버전 | | ESXi*** | ESXi | 6.0 | ESXi600-201603102-SG | | 5.5 | ESXi550-201608102-SG | | 5.1 | ESXi510-201605102-SG | | 5.0 | ESXi500-201606102-SG | | VMware Workstation Pro | Any | 12.1.x | 12.1.1 | | VMware Workstation Player | Any | 12.1.x | 12.1.1 | | VMware Fusion | Mac OS X | 8.1.x | 8.1.1 | | VMware Tools | Windows | 10.0.5 | 10.0.6** |
o HTTP Header Injection 취약점| 항목 | OS환경 | 영향 받는 버전 | 최신 버전 | | vCenter Server | Any | 6.0 | 6.0 U2 | | ESXi | ESXi | 6.0 | ESXi600-201603101-SG |
□ 해결 방안
o 영향 받는 소프트웨어를 사용할 경우 최신 버전 설치[1]
[참고사이트]
[1] http://www.vmware.com/kr/security/advisories/VMSA-2016-0010.html |