CERT-FI haavoittuvuustiedote 141/2008

3.12.2008

VMware-ohjelmistoissa kaksi haavoittuvuutta


Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti	Lisätietoja
Hyväksikäyttö:	- palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

VMware-ohjelmistoista on korjattu kaksi haavoittuvuutta. Toinen korjauksista liittyy VMWare ESX-tuotteissa käytettyyn bzip2-toteutukseen, josta on aiemmin löydetty bzip2-sovelluksen tai libbz2-kirjastoon linkitetyn sovelluksen palvelunestotilan mahdollistava haavoittuvuus. Julkaistu korjaus päivittää VMWaren bzip2-sovelluksen versioon 1.0.5. Toinen päivitys korjaa haavoittuvuuden, jota hyväksikäyttämällä virtuaalikoneen sisältä on mahdollista kirjoittaa dataa isäntäjärjestelmän fyysiseen muistiin virtuaalikoneen käytössä olevien muistialueiden ulkopuolelle. Tämän haavoittuvuuden tarkat vaikutukset ja hyväksikäytettävyys eivät ole tiedossa, mutta VMWare on luokitellut haavoittuvuuden kriittiseksi.

HAAVOITTUVAT OHJELMISTOT:

VMware Workstation 6.0.5 ja aikaisemmat versiot
VMware Workstation 5.5.8 ja aikaisemmat versiot
VMware Player 2.0.5 ja aikaisemmat versiot
VMware Player 1.0.8 ja aikaisemmat versiot
VMware Server 1.0.8 ja aikaisemmat versiot
VMware ESXi 3.5 ilman päivitystä ESXe350-200811401-O-SG
VMware ESX 3.5 ilman päivityksiä ESX350-200811406-SG ja

ESX350-200811401-SG
VMware ESX 3.0.3 ilman päivityksiä ESX303-200811404-SG ja

ESX303-200811401-BG
VMware ESX 3.0.2 ilman päivityksiä ESX-1006980 ja ESX-1006982

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Korjaavat ohjelmistopäivitykset ovat saatavilla valmistajalta.

LISÄTIETOA:

PÄIVITYSHISTORIA:

3.12.2008, kello 13.06: Julkaistu
15.12.2008, kello 12.30: Päivitetty tiedotetta haavoittuvien ohjelmistojen versiotietojen osalta. Lisätty linkki VMwaren omaan tiedotteeseen.

Sivua päivitetty 15.12.2008

Tulostusversio

CERT-FI