VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades en VMware Identity Manager y vRealize Automation, que podrían permitir a un usuario local elevar sus privilegios y la ejecución de código arbitrario.
VMware Identity Manager es una solución IDaaS, o Identity as a Service, que ofrece un sistema de control de acceso que permite a los administradores establecer políticas sobre dispositivos y de gestión de información especialmente en entornos cloud. VMware vRealize Automation automatiza el despliegue y gestión de servicios, aplicaciones e infraestructuras en entornos de cloud
El primer problema, con CVE-2016-5335, reside en una vulnerabilidad de elevación de privilegios en VMware Identity Manager y vRealize Automation. Un atacante local con permisos reducidos podría conseguir permisos de root. Por otra parte, con CVE-2016-5336, una vulnerabilidad de ejecución remota de código en vRealize Automation.
Se ven afectadas las versiones VMware Identity Manager 2.x y vRealize Automation 7.0.x.
VMware ha publicado las siguientes actualizaciones:
VMware Identity Manager 2.7 disponible desde:
https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_identity_manager/2_7
vRealize Automation 7.1 disponible desde:
Más información:
VMSA-2016-0013
VMware Identity Manager and vRealize Automation updates address multiple security issues
Antonio Ropero
Twitter: @aropero
