CERT-FI haavoittuvuustiedote 106/2009

Kaksi haavoittuvuutta korjattu VMwaren tuotteissa

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- käyttövaltuuksien laajentaminen - luottamuksellisen tiedon hankkiminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

VMwaren virtualisointituotteista on korjattu kaksi haavoittuvuutta. Paikkaamattomina haavoittuvuudet voivat mahdollistaa käyttövaltuuksien laajentamisen virtuaalipalvelimella tai luottamuksellisen tiedon hankkimisen isäntäkoneelta.

HAAVOITTUVAT OHJELMISTOT:

• VMware Workstation 6.5.2 ja aikaisemmat versiot
• VMware Player 2.5.2 ja aikaisemmat versiot
• VMware ACE 2.5.2 ja aikaisemmat versiot
• VMware Server 2.0.1 ja aikaisemmat versiot
• VMware Server 1.0.9 ja aikaisemmat versiot
• VMware Fusion 2.0.5 ja aikaisemmat versiot
• VMware ESXi 4.0 ennen päivitystä ESXi400-200909401-BG
• VMware ESXi 3.5 ennen päivityksiä ESXe350-200910401-I-SG ja ESXe350-200901401-I-SG
• VMware ESX 4.0 ennen päivitystä ESX400-200909401-BG
• VMware ESX 3.5 ennen päivityksiä ESX350-200910401-SG ja ESX350-200901401-SG
• VMware ESX 3.0.3 ennen päivityksiä ESX303-200910401-BG ja ESX303-200812406-BG
• VMware ESX 2.5.5 ennen päivitystä Upgrade Patch 15

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuvat ohjelmistot valmistajan ohjeen (VMSA-2009-0015) mukaisesti.

LISÄTIETOA:

• http://www.vmware.com/security/advisories/VMSA-2009-0015.html
• CVE-2009-2267
• CVE-2009-3733

PÄIVITYSHISTORIA:

28.10.2009, kello 8.44: Julkaistu

Sivua päivitetty 28.10.2009

Tulostusversio