브이엠웨어(VMware)의 클라이언트 통합 플러그인에서 심각한 보안 이슈가 발생했다. 해당 버그의 CVE 넘버는 CVE-2016-2076이다.
 
VMware는 해당 클라이언트 통합 플러그인이 안전한 방법으로 세션 내용을 작동시키지 않았고, 이를 통해 중간자 공격이나 vSphere Web 클라이언트가 악의적인 웹 사이트에 방문할 경우 웹 세션 하이재킹 공격이 가능하다고 밝혔다.
 
vCenter Server 6.0, vCenter Server 5.5 U3a, U3b, U3c, vCloud Director 5.5.5나 vRealize Automation Identity Appliance 6.2.4는 문제가 되는 플러그인을 사용하므로, 사용자들은 해당 버그를 해결해야 한다.

 
버그를 해결하려면 클라이언트와 서버단을 모두 고쳐야 하는데, vCenter, vCloud Director 또는 vRealize Automation Identity Appliance를 업그레이드하는 것이 첫번째 단계이다. 다음은 vSphere Web Client가 사용되는 플러그인을 업그레이드하여 클라이언트를 보호하는 것이다.
 
VMware는 플래시, 자바 등 플러그인들이 가진 보안 문제를 참고하여, HTML5 인터페이스를 제공하고 있다.
-참고: www.vmware.com/security/advisories/VMSA-2016-0004.html
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 HSK 기자 mkgil@dailysecu.com