VMware公司已经向其vCenter、vCloud Director以及Horizon产品用户发出警告,指出他们需要尽快修复Flex BlazeDS当中的一项安全漏洞。
这个编号为CVE-2015-3269的安全漏洞将导致Apache Flex BlazeDS“允许远程攻击者利用AMF信息承载一条XML外部实体声明以实现对一项XML External Entity(简称XXE)问题的引用,从而读取任意文件。”这款Apache软件会在“被Adobe LiveCycle Data Services内的flex-messaging-core.jar所使用”时造成上述问题。该CVE同时提醒大家,上述解释适用于该Adobe软件的多个版本,意味着其多数版本皆存在此问题。
VMware公司为该安全漏洞开出了一剂良方,vCenter 6.0版本对其完全免疫。目前正在使用5.x版本的用户需要额外安装补丁,因此可能部分用户会选择直接升级至6.0版本以彻底将其解决。Horizon View 6.0用户及其它运行有现行vCloud Director版本(即5.6版本)的用户则没那么幸运:他们需要根据VMware的建议下载更新,否则将导致自身直接暴露在“恶意攻击者将特制XML 请求发往服务器,从而造成意料之外的信息泄露状况”这一风险当中。
京公网安备 11010502049343号