Разработчик программного обеспечения для виртуализации VMware выпустил обновления, устраняющие две уязвимости в решениях компании. Одна из них (CVE-2016-3427) оценена как критическая, вторая (CVE-2016-2077) получила статус важной.

Проблема CVE-2016-3427 связана с тем, как RMI-сервер в компоненте Oracle JRE JMX выполняет десериализацию аутентификационных данных. Эксплуатация уязвимости позволяет удаленно выполнить произвольный код. Проблеме подвержены следующие продукты: vCenter Server 5.0, 5.1, 5.5 и 6.0 для Windows и Linux; vSphere Replication 5.6.x, 5.8.x, 6.0.x и 6.1.x для Linux; vCloud Director 5.5.x, 5.6.x и 8.0.x для Linux; vRealize Operations Manager 6.x. Патчи доступны для всех вышеуказанных решений, кроме vSphere Replication 6.1.x. По словам производителя уязвимость затрагивает продукт только в случае, если запущен агент vCloud Tunneling Agent.

Помимо CVE-2016-3427, компания также исправила уязвимость повышения привилегий хоста (CVE-2016-2077). Проблема связана с тем, что VMware Workstation и Player для Windows некорректно ссылаются на один из исполняемых файлов. Эксплуатация ошибки позволяет локальному пользователю повысить свои привилегии на системе. Уязвимости подвержены решения VMware Workstation 11.x.x и Player 7.x.x для Windows.

В апреле нынешнего года VMware исправила опасную уязвимость в пакете VMware vSphere Client Integration Plugin (CIP), реализованном в решениях vCenter, vCloud Director и vRealize Automation Identity Appliance.