[Generic/VMware] VMware behebt zahlreiche Schwachstellen
(2008-03-18 22:50:14.767541+00)
Quelle:
http://www.vmware.com/security/advisories/VMSA-2008-0005.htmlVMware Inc. stellt im Rahmen seines Security Advisory VMSA-2008-0005 Patches bzw. aktualisierte Versionen betroffener Applikationen zur Behebung zahlreicher Schwachstellen bereit. Die Schwachstellen erlauben das Versetzen der Applikation bzw. des beherbergenden Rechnersystem in einen unbenutzbaren Zustand, den lesenden und schreibenden Zugriff auf das Dateisystem des beherbergenden Rechnersystems (s. RUS-CERT#1427) sowie die Erweiterung der Privilegien unprivilegierter Benutzer. Betreibern betroffener Systeme wird empfohlen, die angebotenen Gegenmaßnahmen anzuwenden.
Betroffene Systeme
- VMware Workstation 6.0.2 und frühere Versionen
- VMware Workstation 5.5.4 und frühere Versionen
- VMware Player 2.0.2 und frühere Versionen
- VMware Player 1.0.4 und frühere Versionen
- VMware ACE 2.0.2 und frühere Versionen
- VMware ACE 1.0.2 und frühere Versionen
- VMware Server 1.0.4 und frühere Versionen
- VMware Fusion 1.1 und frühere Versionen
Gegenmaßnahmen
- CVE-2008-0923:
- VMware Workstation 6.0: Installation von VMware 6.0.3 (Build# 80004)
- VMware Workstation 5.5: Installation von VMware 5.5.6 (Build# 80404)
- VMware Player 2.0: Installation von VMware 2.0.3 (Build# 80004)
- VMware Player 1.0: Installation von VMware 1.0.6 (Build# 80404)
- VMware ACE 2.0: Installation von VMware 2.0.1 (Build# 80004)
- VMware ACE 1.0: Installation von VMware 1.0.5 (Build# 79846)
- CVE-2008-1361:
- VMware Workstation 6.0: Installation von VMware 6.0.3 (Build# 80004)
- VMware Workstation 5.5: Installation von VMware 5.5.6 (Build# 80404)
- VMware Player 2.0: Installation von VMware 2.0.3 (Build# 80004)
- VMware Player 1.0: Installation von VMware 1.0.6 (Build# 80404)
- VMware Server 1.0: Installation von VMware 1.0.5 (Build# 80187)
- VMware ACE 2.0: Installation von VMware 2.0.1 (Build# 80004)
- VMware ACE 1.0: Installation von VMware 1.0.5 (Build# 79846)
- CVE-2008-1362:
- VMware Workstation 6.0: Installation von VMware 6.0.3 (Build# 80004)
- VMware Workstation 5.5: Installation von VMware 5.5.6 (Build# 80404)
- VMware Player 2.0: Installation von VMware 2.0.3 (Build# 80004)
- VMware Player 1.0: Installation von VMware 1.0.6 (Build# 80404)
- VMware Server 1.0: Installation von VMware 1.0.5 (Build# 80187)
- VMware ACE 2.0: Installation von VMware 2.0.1 (Build# 80004)
- VMware ACE 1.0: Installation von VMware 1.0.5 (Build# 79846)
- CVE-2007-5269:
- VMware Workstation 6.0: Installation von VMware 6.0.3 (Build# 80004)
- VMware Workstation 5.5: Installation von VMware 5.5.6 (Build# 80404)
- VMware Player 2.0: Installation von VMware 2.0.3 (Build# 80004)
- VMware Player 1.0: Installation von VMware 1.0.6 (Build# 80404)
- VMware Server 1.0: Installation von VMware 1.0.5 (Build# 80187)
- VMware ACE 2.0: Installation von VMware 2.0.1 (Build# 80004)
- VMware ACE 1.0: Installation von VMware 1.0.5 (Build# 79846)
- CVE-2006-2940:
- VMware Workstation 6.0: Installation von VMware 6.0.3 (Build# 80004)
- VMware Workstation 5.5: Installation von VMware 5.5.6 (Build# 80404)
- VMware Player 2.0: Installation von VMware 2.0.3 (Build# 80004)
- VMware Player 1.0: Installation von VMware 1.0.6 (Build# 80404)
- VMware Server 1.0: Installation von VMware 1.0.5 (Build# 80187)
- VMware ACE 2.0: Installation von VMware 2.0.1 (Build# 80004)
- VMware ACE 1.0: Installation von VMware 1.0.5 (Build# 79846)
- CVE-2006-2937:
- VMware Workstation 6.0: Installation von VMware 6.0.3 (Build# 80004)
- VMware Workstation 5.5: Installation von VMware 5.5.6 (Build# 80404)
- VMware Player 2.0: Installation von VMware 2.0.3 (Build# 80004)
- VMware Player 1.0: Installation von VMware 1.0.6 (Build# 80404)
- VMware Server 1.0: Installation von VMware 1.0.5 (Build# 80187)
- VMware ACE 2.0: Installation von VMware 2.0.1 (Build# 80004)
- VMware ACE 1.0: Installation von VMware 1.0.5 (Build# 79846)
- CVE-2006-4343:
- VMware Workstation 6.0: Installation von VMware 6.0.3 (Build# 80004)
- VMware Workstation 5.5: Installation von VMware 5.5.6 (Build# 80404)
- VMware Player 2.0: Installation von VMware 2.0.3 (Build# 80004)
- VMware Player 1.0: Installation von VMware 1.0.6 (Build# 80404)
- VMware Server 1.0: Installation von VMware 1.0.5 (Build# 80187)
- VMware ACE 2.0: Installation von VMware 2.0.1 (Build# 80004)
- VMware ACE 1.0: Installation von VMware 1.0.5 (Build# 79846)
- CVE-2006-4339:
- VMware Workstation 6.0: Installation von VMware 6.0.3 (Build# 80004)
- VMware Workstation 5.5: Installation von VMware 5.5.6 (Build# 80404)
- VMware Player 2.0: Installation von VMware 2.0.3 (Build# 80004)
- VMware Player 1.0: Installation von VMware 1.0.6 (Build# 80404)
- VMware Server 1.0: Installation von VMware 1.0.5 (Build# 80187)
- VMware ACE 2.0: Installation von VMware 2.0.1 (Build# 80004)
- VMware ACE 1.0: Installation von VMware 1.0.5 (Build# 79846)
- CVE-2007-5618:
- VMware Workstation 6.0: Installation von VMware 6.0.3 (Build# 80004)
- VMware Workstation 5.5: Installation von VMware 5.5.6 (Build# 80404)
- VMware Player 2.0: Installation von VMware 2.0.3 (Build# 80004)
- VMware Player 1.0: Installation von VMware 1.0.6 (Build# 80404)
- VMware Server 1.0: Installation von VMware 1.0.5 (Build# 80187)
- VMware ACE 2.0: Installation von VMware 2.0.1 (Build# 80004)
- VMware ACE 1.0: Installation von VMware 1.0.5 (Build# 79846)
- CVE-2008-1364:
- VMware Workstation 5.5: Installation von VMware 5.5.6 (Build# 80404)
- VMware Player 1.0: Installation von VMware 1.0.6 (Build# 80404)
- VMware Server 1.0: Installation von VMware 1.0.5 (Build# 80187)
- VMware ACE 1.0: Installation von VMware 1.0.5 (Build# 79846)
- VMware Fusion 1.1: Installation von VMware 1.1.1 (Build# 72241)
- CVE-2008-1363:
- VMware Workstation 6.0: Installation von VMware 6.0.3 (Build# 80004)
- VMware Workstation 5.5: Installation von VMware 5.5.6 (Build# 80404)
- VMware Player 2.0: Installation von VMware 2.0.3 (Build# 80004)
- VMware Player 1.0: Installation von VMware 1.0.6 (Build# 80404)
- VMware Server 1.0: Installation von VMware 1.0.5 (Build# 80187)
- VMware ACE 2.0: Installation von VMware 2.0.1 (Build# 80004)
- VMware ACE 1.0: Installation von VMware 1.0.5 (Build# 79846)
- CVE-2008-1340:
- VMware Workstation 6.0: Installation von VMware 6.0.3 (Build# 80004)
- VMware Player 2.0: Installation von VMware 2.0.3 (Build# 80004)
- VMware ACE 2.0: Installation von VMware 2.0.1 (Build# 80004)
- Weitere Schwachstelle in Workstation 6.0.2, die unauthentifizierten Zugriff auf eine Kommandoshell des beherbergenden Rechnersystems über die VIX API ermöglicht (Kein CVE-Name vergeben):
- VMware Workstation 6.0: Installation von VMware 6.0.3 (Build# 80004)
- VMware Player 2.0: Installation von VMware 2.0.3 (Build# 80004)
- VMware ACE 2.0: Installation von VMware 2.0.1 (Build# 80004)
Vulnerability ID
- CVE-2008-0923, siehe auch: RUS-CERT#1427
- CVE-2008-1361
- CVE-2008-1362
- CVE-2007-5269
- CVE-2006-2940, siehe auch: RUS-CERT#1325,
- CVE-2006-2937, siehe auch: RUS-CERT#1325
- CVE-2006-4343, siehe auch: RUS-CERT#1325
- CVE-2006-4339
- CVE-2007-5618
- CVE-2008-1364
- CVE-2008-1363
- CVE-2008-1340
Weitere Artikel zu diesem Thema:
- [MS/VMware] Directory Traversal Schwachstelle in VMware (UPDATE) (2008-02-27)
Eine Schwachstelle in der Virtualisierungssoftware VMware kann von einem Benutzer auf einem virtuellen ("Gast-") System dazu ausgenutzt werden, auf das gesamte Dateisystem des beherbergenden Betriebssystems lesend und schreibend zuzugreifen. Patches sind noch nicht verfügbar, jedoch ein Workaround. UPDATE (2008-03-18): VMware Inc. stellt aktualisierte Software bereit. - [Generic/OpenSSL] Mehrere Schwachstellen in OpenSSL (2006-09-29)
OpenSSL 0.9.7l und OpenSSL 0.9.8d beheben insgesamt vier Schwachstellen, darunter eine Pufferüberlaufschwachstelle, die die potentiell zur Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem ausgenutzt werden kann. Nachdem viele Anwendungen, wie z.B. Webserver die OpenSSL-Bibliotheken zur Bereitstellung von Verschlüsselungsdiensten nutzen, stellt insbesondere diese Schwachstelle ein hohes Risiko dar und sollte rasch beseitigt werden. Derzeit sind die neuen Versionen im Quellcode verfügbar, verschiedene Distributoren stellen ebenfalls bereits aktualisierte Pakete bereit.
( CVE-2006-2937, CVE-2006-2940, CVE-2006-3738, CVE-2006-4343)
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1433