SYSS-2016-063: HTTP Header Injection-Schwachstelle in VMware ESXi und VMware vCenter Server

Bei der Durchführung eines Sicherheitstests stellte die SySS GmbH fest, dass der Webserver der Virtualisierungslösung VMware ESXi 6 anfällig für HTTP Header Injection-Angriffe ist.

Diese Schwachstelle kann von einem Angreifer in bestimmten Angriffsszenarien ausgenutzt werden, um beliebige HTTP Header-Informationen in Antworten des VMware ESXi Webservers zu setzen. Dies ermöglicht beispielsweise Cross-Site Scripting-Angriffe oder bösartige Weiterleitungen.

Der Hersteller VMware hat dieses Sicherheitsproblem bereits behoben und entsprechende Softwareupdates für betroffene Produkte bereitgestellt.

Detaillierte Informationen zu der Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about this security issue in our Security Advisory

• SYSS-2016-063

sowie in dem VMware Security Advisory / and in the VMWare Security Advisory

• VMSA-2016-0010

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.