CERT-FI haavoittuvuustiedote 136/2008

7.11.2008

VMware-ohjelmistoissa kaksi haavoittuvuutta (VMSA-2008-0018)

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti	Lisätietoja
Hyväksikäyttö:	- käyttövaltuuksien laajentaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

VMware-ohjelmistoista on löytynyt kaksi haavoittuvuutta, jotka mahdollistavat käyttövaltuuksien laajentamisen. Toinen haavoittuvuus liittyy VMwaren tapaan emuloida virtuaalikoneen suoritinta ja toinen VirtualCenter-ohjelmiston tapaan käsitellä hakemistopolkuja.

HAAVOITTUVAT OHJELMISTOT:

• VMware Workstation 6.0.5 ja aikaisemmat versiot
• VMware Workstation 5.5.8 ja aikaisemmat versiot
• VMware Player 2.0.5 ja aikaisemmat versiot
• VMware Player 1.0.8 ja aikaisemmat versiot
• VMware ACE 2.0.5 ja aikaisemmat versiot
• VMware ACE 1.0.7 ja aikaisemmat versiot
• VMware Server 1.0.7 ja aikaisemmat versiot
• VMware ESXi 3.5 ilman päivitystä ESXe350-200810401-O-UG
• VMware ESX 3.5 ilman päivitystä ESX350-200810201-UG
• VMware ESX 3.0.3 ilman päivitystä ESX303-200810501-BG
• VMware ESX 3.0.2 ilman päivitystä ESX-1006680
• VMware ESX 2.5.5 ennen 'upgrade patch 10' -päivitystä
• VMware ESX 2.5.4 ilman 'upgrade patch 21' -päivitystä
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Korjaavat ohjelmistopäivitykset ovat saatavilla valmistajalta.

LISÄTIETOA:

• http://lists.vmware.com/pipermail/security-announce/2008/000042.html
• CVE-2008-4281
• CVE-2008-4915

PÄIVITYSHISTORIA:

7.11.2008, kello 19.31: Julkaistu

Sivua päivitetty 07.11.2008

Tulostusversio