新闻链接：http://www.freebuf.com/news/53919.html
   新闻时间：2014-12-10
   新闻正文：

VMware本周发布了一系列补丁修复多个漏洞，包括其服务器虚拟化平台。

漏洞存在于VMware的vCenter Server Appliance (vCSA)中，一个VMware vCenter服务器的一个组件。最主要的XSS漏洞(CVE-2014-3797)是由Trustware Spiderlabs研究员Tanya Secker发现的。黑客可以利用该漏洞让用户点击恶意链接。漏洞只影响vCSA 5.1系统，受影响的用户可以升级到5.1 Update3。

另一个漏洞(CVE-2014-8371)是由Google安全团队发现的。这个漏洞能够让攻击者使用中间人攻击Common Information Model (CIM)服务。主要问题在于，在此之前，vCenter Server连接CIM服务器时并不会正确地验证证书。运行所有版本vCenter服务器的用户们都受此证书漏洞的影响。影响用户可以替换或者打上补丁，他们可以升级到5.5 Update 2, 5.1 Update 3或者是5.0 Update 3c，取决于他们的当前版本。

六个CVE公共漏洞来自于第三方提供的库:ESXi Python, ESXi Curl和ESXi libxml2。但VMware并不打算为较老版本的ESX 5.0系统发布补丁，VMware已经为ESXi 5.1系统推送了补丁，但尚未有针对新版本ESXi 5.5的补丁。
VMware这次还更新了受Oracle Java SE关键安全漏洞影响的vCenter Server和vCenter Update Manager。但每个产品都有差异所以5.0版本已有补丁，5.1还未修复，5.5版本则不受此影响。

具体漏洞详情参见此处http://blogs.vmware.com/security/2014/12/changes-transparent-page-sharing-reminder-new-updated-vmware-security-advisories.html
VMware提醒用户查看版本注释并及时修补补丁。

[参考来源Threatpost & VMware，译/Sphinx，转载请注明来自Freebuf.COM]

[招生]系统0day安全班，企业级设备固件漏洞挖掘，Linux平台漏洞挖掘！