Компания VMware выпустила обновления для решений по управлению виртуальной инфраструктурой vCenter, vCloud Director и Horizon, устраняющие брешь (CVE-2015-3269) в ПО Apache Flex BlazeDS. Уязвимость существует из-за ошибки при обработке XML-элементов и может привести к раскрытию важной информации.
XXE-уязвимость (XML External Entity) была обнаружена в BlazeDS – web-технологии передачи сообщений, встроенной в Adobe LiveCycle Data Services LiveCycle. В августе этого года Adobe устранила данную уязвимость, классифицированную как “важная”, выпустив исправление для файла flex-messaging-core.jar. Брешь затрагивает следующие продукты: версии VMware vCenter до 6.0, Horizon View 6.0, текущую версию vCloud Director 5.6.
XXE-уязвимости в web-приложениях, обрабатывающих XML-данные, могут быть использованы для вывода защищенных файлов из Сети. По словам экспертов, суть подобной уязвимости заключается в том, что входные XML-данные, содержащие ссылку на внешний элемент, обрабатываются некорректно сконфигурированным XML-парсером. (VMware/NovostIT)
