Energysquare propose un astucieux ruban à coller au dos d'un smartphone pour bénéficier d'une capacité de recharge sans fil.

L'Image du jour

Energysquare propose un astucieux ruban à coller au dos d'un smartphone pour bénéficier d'une capacité de recharge sans fil.

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

VMware corrige une vulnérabilité critique dans View

Le patch livré par VMware pour View corrige une faille de sécurité qui pourrait permettre à un utilisateur non autorisé d'accéder à des fichiers système.

«VMware View contient une vulnérabilité critique dans le chemin du répertoire qui permet à un attaquant distant non authentifié de récupérer des fichiers arbitraires dans les View Servers affectés », selon un avis de sécurité posté par VMware pour alerter ses clients. « L'exploitation de cette faille peut exposer des informations sensibles stockées sur le serveur ». Les détenteurs de licences VMware View peuvent télécharger gratuitement et dès maintenant cette mise à jour. C'est Digital Defense (DDI), une entreprise basée au Texas, spécialisée dans l'évaluation des risques, qui a identifié la vulnérabilité cet automne et a alerté VMware en octobre. La faille ne concerne que View. Ce logiciel permet aux entreprises de contrôler les accès à certaines machines virtuelles. « Les grandes entreprises utilisent souvent VMware View pour faire la démonstration de leurs produits », comme l'a expliqué Javier Castro, spécialiste des vulnérabilités chez DDI.

Accès à des fichiers du réseau interne

En effectuant une série de tests de vulnérabilité sur les systèmes View, DDI a constaté qu'un utilisateur invité, qui a été autorisé à accéder à certains fichiers sur une machine virtuelle, pouvait amener la VM à récupérer des fichiers auxquels il n'aurait pas dû avoir normalement accès. Des utilisateurs externes pouvaient donc accéder aux fichiers du réseau interne. Cela signifie par exemple qu'un intrus potentiel pouvait entrer dans les systèmes de fichiers d'un serveur web et récupérer des mots de passe cryptés sensibles par exemple. L'entreprise de sécurité a trouvé la faille de franchissement de répertoire à la fois dans un serveur de connexion et dans un serveur de sécurité exécutant VMware View.

« DDI a réalisé une série de contrôles génériques de traversée de répertoires sur les systèmes VMware et a trouvé cette vulnérabilité en liant différentes chaînes d'invites dans les sous-répertoires ». Selon Javier Castro, les produits VMware sont « généreux », parce que, du fait de la virtualisation, ils donnent accès à un grand nombre de machines virtuelles. Les traversées de répertoire peuvent donc logiquement intéresser les pirates et les testeurs de vulnérabilité. Selon lui, ces derniers mois, VMware semble avoir bien renforcé son audit d'outils de tierce partie et s'assure que toutes les mises à jour et correctifs d'outils que l'éditeur utilise dans ses produits et services sont bien intégrés dans ses propres mises à jour.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité