CERT-FI haavoittuvuustiedote 084/2010

1.6.2010

Haavoittuvuuksia VMware ESXi ja ESX Service Console -ohjelmistoissa


Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - ilman kirjautumista - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - käyttövaltuuksien laajentaminen - palvelunestohyökkäys - suojauksen ohittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen - ei päivitystä tai rajoitusmenetelmää	Lisätietoja

VMware on julkaissut tiedotteen (VMSA-2010-0009) turvallisuuspäivityksistä VMwaren ESXi ja ESX Service Console -tuotteisiin. Päivitykset korjaavat yli 40 haavoittuvuutta ESXi ja ESX Service Console -ohjelmistoihin sisältyvistä kolmannen osapuolen ohjelmistoista. Haavoittuvuudet liittyvät tuotteissa käytettyihin ntp, openssl, krb5, gcc, bind, gzip ja sudo -ohjelmistoihin sekä ESX -käyttöjärjestelmän ytimeen. Kaikkiin tuotteisiin ei vielä ole saatavilla korjauksia. Osa haavoittuvuuksista mahdollistaa hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä, osan avulla hyökkääjä voi korottaa käyttöoikeustasoaan, aiheuttaa palvelunestotilan, laajentaa käyttövaltuuksiaan tai väärentää sähköisen varmenteensa.

HAAVOITTUVAT OHJELMISTOT:

VMware ESXi
VMware ESX 4.0
VMware ESX 3.5
VMware ESX 3.0.3
VMware ESX 2.5.5
VMware vMA 4.0

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeen mukaisesti. Osaan haavoittuvuuksista ei vielä ole saatavilla korjaavaa ohjelmistopäivitystä. Tarkemmat tiedot saatavilla olevista päivityksistä saa valmistajan julkaisemasta tiedotteesta.

LISÄTIETOA:

http://www.vmware.com/security/advisories/VMSA-2010-0009.html

PÄIVITYSHISTORIA:

1.6.2010, kello 17.40: Julkaistu

Kommentoi

Sivua päivitetty 01.06.2010

Tulostusversio