VMware, Flex BlazeDS’i kullanan bazı ürünlerindeki bilgi sızmasına sebep olan önemli bir açığı kapattı.
Bu açık Ağustos ayında Code White’tan Matthias Kaiser tarafından bulunmuş ve açıklanmıştı. Araştırmacılara göre Apache Flex BlazeDS içerisindeki açık, XML External Entity’deki bir hatadan kaynaklanıyor.
Bunun gibi XML girişlerini parse eden web uygulamalarında bulunan açıklar, gizlenmiş ve korunmuş belgelerin ağ dışına sızdırılması için kullanılabiliyor.
Apache Foundation’ın paylaştığına göre Apache Flex BlazeDS 4.7.0 etkilenmiş görünüyor.
VMware’in paylaştığına göre aşağıdaki ürünler bu sorundan etkileniyor:
- VMware vCenter Server 5.5 prior to version 5.5 update 3
- VMware vCenter Server 5.1 prior to version 5.1 update u3b
- VMware vCenter Server 5.0 prior to version 5.0 update u3e
- vCloud Director 5.6 prior to version 5.6.4
- vCloud Director 5.5 prior to version 5.5.3
- VMware Horizon View 6.0 prior to version 6.1
- VMware Horizon View 5.0 prior to version 5.3.4
VMware’in açıklamasına göre Flex BlazeDS kullanan ürünlerinin XML External Entity (XXE) request’leriyle ilgilenenlerin bazıları bu sorundan etkilenebiliyor. Özel üretilmiş bir XML request’in sunucuya gönderilmesiyle gizli kalması gereken bazı bilgiler açığa çıkabiliyor.