Impacto
=======

Un usuario malintencionado, podría construir una petición para la API "/vdi/desktop" que fuera válida en formato, pero que contuviera caracteres no permitidos en el campo hwaddress, causando el reinicio del actor TerminalPolicyManager.

El reinicio de este actor causa la pérdida de su configuración, por lo que deja de ser posible atender peticiones de terminales VDI de forma apropiada.

Por otra parte, este vector de ataque *no* permite tomar el control de la plataforma, ni la fuga de información. Asimismo, el resto de funciones del Manager (manejo de Guests, Hosts, Pools y Storages) se mantienen intactas.


Versiones afectadas
===================

 - flexvdi-manager <= 2.2.17


Solución
========

Actualizar a flexvdi-manager == 2.2.18. Este proceso se puede realizar con flexvdi-config, requiriendo una parada de servicio inferior a 10 minutos. Dicha parada de servicio *no* afecta a la sesiones que ya se encuentran establecidas, sólo a los nuevos intentos de conexión.


Changelog de flexVDI Manager desde 2.2.17 a 2.2.18
==================================================

 - FLEXVDI-1436: Apply name restrictions to hwAddr. Harden object persistence.
 - FLEXVDI-1434: DesktopReaper: for destroy action, don't advance to next operation.
 - FLEXVDI-1433: Make demo user credentials configurable.
 - FLEXVDI-1423: Make Host failure threshold configurable.