VMware修复XSS漏洞和证书验证问题

　　VMware本周发布了一系列补丁修复多个漏洞，包括其服务器虚拟化平台。

　　漏洞存在于VMware的vCenter Server Appliance (vCSA)中，一个VMware vCenter服务器的一个组件。最主要的XSS漏洞(CVE-2014-3797)是由Trustware Spiderlabs研究员Tanya Secker发现的。黑客可以利用该漏洞让用户点击恶意链接。漏洞只影响vCSA 5.1系统，受影响的用户可以升级到5.1 Update3。

　　另一个漏洞(CVE-2014-8371)是由Google安全团队发现的。这个漏洞能够让攻击者使用中间人攻击Common Information Model (CIM)服务。主要问题在于，在此之前，vCenter Server连接CIM服务器时并不会正确地验证证书。运行所有版本vCenter服务器的用户们都受此证书漏洞的影响。影响用户可以替换或者打上补丁，他们可以升级到5.5 Update 2， 5.1 Update 3或者是5.0 Update 3c，取决于他们的当前版本。

　　六个CVE公共漏洞来自于第三方提供的库：ESXi Python， ESXi Curl和ESXi libxml2。但VMware并不打算为较老版本的ESX 5.0系统发布补丁，VMware已经为ESXi 5.1系统推送了补丁，但尚未有针对新版本ESXi 5.5的补丁。

　　VMware这次还更新了受Oracle Java SE关键安全漏洞影响的vCenter Server和vCenter Update Manager。但每个产品都有差异所以5.0版本已有补丁，5.1还未修复，5.5版本则不受此影响。