Avec App Maker, Google propose des outils pour faciliter la réalisation rapide d'applications personnalisées pour les métiers dans les entreprises.

L'Image du jour

Avec App Maker, Google propose des outils pour faciliter la réalisation rapide d'applications personnalisées pour les métiers dans les entreprises.

Les 10 tendances technologiques en 2017

Dernier Dossier

Les 10 tendances technologiques en 2017

Comme chaque année, la rédaction du Monde Informatique a établi une liste des 10 tendances technologiques à venir ou qui vont se poursuivre en 2017....

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

VMware corrige une vulnérabilité critique dans View

Le patch livré par VMware pour View corrige une faille de sécurité qui pourrait permettre à un utilisateur non autorisé d'accéder à des fichiers système.

«VMware View contient une vulnérabilité critique dans le chemin du répertoire qui permet à un attaquant distant non authentifié de récupérer des fichiers arbitraires dans les View Servers affectés », selon un avis de sécurité posté par VMware pour alerter ses clients. « L'exploitation de cette faille peut exposer des informations sensibles stockées sur le serveur ». Les détenteurs de licences VMware View peuvent télécharger gratuitement et dès maintenant cette mise à jour. C'est Digital Defense (DDI), une entreprise basée au Texas, spécialisée dans l'évaluation des risques, qui a identifié la vulnérabilité cet automne et a alerté VMware en octobre. La faille ne concerne que View. Ce logiciel permet aux entreprises de contrôler les accès à certaines machines virtuelles. « Les grandes entreprises utilisent souvent VMware View pour faire la démonstration de leurs produits », comme l'a expliqué Javier Castro, spécialiste des vulnérabilités chez DDI.

Accès à des fichiers du réseau interne

En effectuant une série de tests de vulnérabilité sur les systèmes View, DDI a constaté qu'un utilisateur invité, qui a été autorisé à accéder à certains fichiers sur une machine virtuelle, pouvait amener la VM à récupérer des fichiers auxquels il n'aurait pas dû avoir normalement accès. Des utilisateurs externes pouvaient donc accéder aux fichiers du réseau interne. Cela signifie par exemple qu'un intrus potentiel pouvait entrer dans les systèmes de fichiers d'un serveur web et récupérer des mots de passe cryptés sensibles par exemple. L'entreprise de sécurité a trouvé la faille de franchissement de répertoire à la fois dans un serveur de connexion et dans un serveur de sécurité exécutant VMware View.

« DDI a réalisé une série de contrôles génériques de traversée de répertoires sur les systèmes VMware et a trouvé cette vulnérabilité en liant différentes chaînes d'invites dans les sous-répertoires ». Selon Javier Castro, les produits VMware sont « généreux », parce que, du fait de la virtualisation, ils donnent accès à un grand nombre de machines virtuelles. Les traversées de répertoire peuvent donc logiquement intéresser les pirates et les testeurs de vulnérabilité. Selon lui, ces derniers mois, VMware semble avoir bien renforcé son audit d'outils de tierce partie et s'assure que toutes les mises à jour et correctifs d'outils que l'éditeur utilise dans ses produits et services sont bien intégrés dans ses propres mises à jour.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
35 ans
22 Décembre 1986 n°261
Publicité
Publicité