CERT-FI haavoittuvuustiedote 121/2008

7.10.2008

VMware-ohjelmistoissa haavoittuvuuksia (VMSA-2008-0016)

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti	Lisätietoja
Hyväksikäyttö:	- käyttövaltuuksien laajentaminen - luottamuksellisen tiedon hankkiminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

VMware-ohjelmistotuotteiden päivitysversiot paikkaavat useita haavoittuvuuksia:

• käyttövaltuuksien laajentaminen virtuaalikoneessa ajettavassa 64-bittisessä FreeBSD- ja mahdollisesti muissa käyttöjärjestelmissä (ei kuitenkaan Linux-käyttöjärjestelmässä)
  
• salasanan näkyminen tietyissä tilanteissa VirtualCenter-ohjelmistossa
  
• Java JRE -päivitys VirtualCenter-ohjelmistossa

HAAVOITTUVAT OHJELMISTOT:

• VirtualCenter 2.5 ennen päivitysversiota Update 3 build 119838
  
• VMware Workstation 6.0.4 ja aikaisemmat versiot
  
• VMware Workstation 5.5.7 ja aikaisemmat versiot
• VMware Player 2.0.4 ja aikaisemmat versiot
• VMware Player 1.0.7 ja aikaisemmat versiot
• VMware ACE 2.0.4 ja aikaisemmat versiot
• VMware ACE 1.0.6 ja aikaisemmat versiot
• VMware Server 1.0.6 ja aikaisemmat versiot
• VMware ESXi 3.5 ilman päivitystä ESXe350-200809401-I-SG
• ESX 3.5 ilman päivityksiä ESX350-200809404-SG ja ESX350-200810215-UG
• ESX 3.0.3 ilman päivitystä ESX303-200809401-SG
• ESX 3.0.2 ilman päivitystä ESX-1006361
• ESX 3.0.1 ilman päivitystä ESX-1006678

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Korjaavat ohjelmistopäivitykset ovat saatavilla valmistajalta.

LISÄTIETOA:

• http://www.vmware.com/security/advisories/VMSA-2008-0016.html
• CVE-2008-4279
• CVE-2008-4278
• CVE-2008-3103
• CVE-2008-3104
• CVE-2008-3105
• CVE-2008-3106
• CVE-2008-3107
• CVE-2008-3108
• CVE-2008-3109
• CVE-2008-3110
• CVE-2008-3111
• CVE-2008-3112
• CVE-2008-3113
• CVE-2008-3114
• CVE-2008-3115

PÄIVITYSHISTORIA:

7.10.2008, kello 14.21: Julkaistu
7.11.2008, kello 19.17: Lisätty tieto uudesta ESX 3.5 -päivityksestä

Sivua päivitetty 07.11.2008

Tulostusversio