VMware為其VMware View產(chǎn)品發(fā)布一個補丁，修復(fù)一個可能讓非授權(quán)用戶訪問系統(tǒng)文件的安全漏洞。

VMware在提醒用戶注意這個問題的安全公告中稱，VMware View產(chǎn)品包含一個嚴(yán)重的目錄遍歷安全漏洞。這個安全漏洞能夠讓未經(jīng)身份識別的遠(yuǎn)程攻擊者從受影響的VMware View服務(wù)器中提取二進制文件。利用這個安全漏洞可能暴露存儲在這個服務(wù)器中的敏感信息。VMware發(fā)布的VMware View產(chǎn)品更新將免費提供給這個產(chǎn)品的許可證擁有者，下載網(wǎng)址是：http://www.vmware.com/security/advisories/VMSA-2012-0017.html

位于德克薩斯州的風(fēng)險審計公司Digital Defense今年秋季發(fā)現(xiàn)了這個安全漏洞并且在今年10月警告VMware注意這個問題。這個問題僅限于VMware View。這個產(chǎn)品允許機構(gòu)批準(zhǔn)訪問某些虛擬機。DDI高級安全漏洞研究人員Javier Castro指出，大型機構(gòu)一般都使用它展示一種產(chǎn)品。

DDI在對VMware View系統(tǒng)進行一系列安全漏洞測試時發(fā)現(xiàn)，一個以前曾獲準(zhǔn)訪問一個虛擬機上的具體文件的客戶用戶能夠讓這個虛擬機獲取他無權(quán)訪問的文件。這基本上是外部用戶訪問內(nèi)部網(wǎng)絡(luò)的文件。這意味著一個潛在的入侵者可能訪問一個網(wǎng)站服務(wù)器上的文件系統(tǒng)以訪問敏感的散列密碼。DDI發(fā)現(xiàn)，這個目錄遍歷安全漏洞存在于運行VMware View的連接服務(wù)器和安全服務(wù)器中。

DDI對VMware系統(tǒng)進行了一系列的一般目錄遍歷安全漏洞檢查，通過把子目錄中的各種提示符字符串結(jié)合在一起發(fā)現(xiàn)了這個安全漏洞。Castro說，VMware產(chǎn)品是“豐富的”，因為根據(jù)其虛擬化的性質(zhì)，這些產(chǎn)品能夠訪問許多虛擬機。目錄遍歷安全漏洞是黑客和安全漏洞審計者都關(guān)心的一個領(lǐng)域。他補充說，VMware在最近幾個月似乎更善于審計第三方的工具以保證VMware在其產(chǎn)品和服務(wù)中使用的工具的任何更新和補丁都能夠在VMware的更新中反應(yīng)出來。