SYSS-2016-063: HTTP Header Injection-Schwachstelle in VMware ESXi und VMware vCenter Server

Neues Security Advisory von Expert IT-Security Consultant Matthias Deeg

Bei der Durchführung eines Sicherheitstests stellte die SySS GmbH fest, dass der Webserver der Virtualisierungslösung VMware ESXi 6 anfällig für HTTP Header Injection-Angriffe ist.

Diese Schwachstelle kann von einem Angreifer in bestimmten Angriffsszenarien ausgenutzt werden, um beliebige HTTP Header-Informationen in Antworten des VMware ESXi Webservers zu setzen. Dies ermöglicht beispielsweise Cross-Site Scripting-Angriffe oder bösartige Weiterleitungen.

Der Hersteller VMware hat dieses Sicherheitsproblem bereits behoben und entsprechende Softwareupdates für betroffene Produkte bereitgestellt.

Detaillierte Informationen zu der Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about this security issue in our Security Advisory

sowie in dem VMware Security Advisory / and in the VMWare Security Advisory

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer