Eine Schwachstelle in der der virtual machine hardware und eine Schwachstelle in der Kompressionsbibliothek bzlib verschiedener VMware-Produkte können von einem Angreifer dazu ausgenutzt werden, den jeweiligen VMware-Prozess zum Absturz oder das beherbergende System in einen unbenutzbaren Zustand zu versetzten. VMware stellt aktualisierte Versionen zur Verfügung, die die Probleme beheben.

Inhalt

• Betroffene Systeme
• Nicht betroffene Systeme
• Auswirkung
• Gegenmaßnahmen
• Vulnerability ID

Betroffene Systeme

• CVE-2008-4917:
  • VMware Workstation 6.0.x
  • VMware Workstation 5.x bis 5.5.9 build 126128
  • VMware Player 2.0.x
  • VMware Player 1.x bis 1.0.9 build 126128
  • VMware ACE 2.0.x für Microsoft Windows
  • VMware ACE 1.x für Microsoft Windows ab 1.0.8 build 125922
  • VMware Server 1.x bis 1.0.8 build 126538
  • VMware Fusion 1.x für Apple Mac OS/X
  • VMware ESXi 3.5
  • VMware ESX 3.5
  • VMware ESX 3.0.3
  • VMware ESX 3.0.2
• CVE-2008-1372:
  • VMware ESX 3.5
  • VMware ESX 3.0.3
  • VMware ESX 3.0.2
  • VMware ESX 2.5.5

Nicht betroffene Systeme

• CVE-2008-4917:
  • VMware Workstation 6.5.x ab 6.5.0 build 118166
  • VMware Workstation 5.x ab 5.5.9 build 126128
  • VMware Player 2.5.x ab 2.5.0 build 118166
  • VMware Player 1.x ab 1.0.9 build 126128
  • VMware ACE 2.0.x für Microsoft Windows ab 2.5.0 build 118166
  • VMware ACE 1.x für Microsoft Windows ab 1.0.8 build 125922
  • VMware Server 2.x
  • VMware Server 1.x ab 1.0.8 build 126538
  • VMware Fusion 2.x für Apple Mac OS/X
  • VMware ESXi 3.5 ESXe350-200811401-O-SG
  • VMware ESX 3.5 ESX350-200811401-SG
  • VMware ESX 3.0.3 ESX303-200811401-BG
  • VMware ESX 3.0.2 ESX-1006980
  • VMware ESX 2.5.5
• CVE-2008-1372:
  • VMware VirtualCenter für Microsoft Windows
  • VMware hosted *
  • VMware ESXi 3.5
  • VMware ESX 3.5 ESX350-200811406-SG
  • VMware ESX 3.0.3 ESX303-200811404-SG
  • VMware ESX 3.0.2 ESX-1006982

Auswirkung

• CVE-2008-4917:
  
  • Absturz des VMware-Prozesses
    (Denial of service)
  • Versetzen des beherbergenden Systems in einen unbenutzbaren Zustand
    (Denial of service)
• CVE-2008-1372:
  
  • Absturz des VMware-Prozesses
    (Denial of service)
  • Versetzen des beherbergenden Systems in einen unbenutzbaren Zustand
    (Denial of service)

Gegenmaßnahmen

• CVE-2008-4917:
  • VMware Workstation 6.5.x: Installation von 6.5.0 build 118166
  • VMware Workstation 5.x: Installation von 5.5.9 build 126128 (http://www.vmware.com/download/ws/ws5.html)
  • VMware Player 2.5.x: Installation von 2.5.0 build 118166
  • VMware Player 1.x: Installation von 1.0.9 build 126128 (http://www.vmware.com/download/player/ )
  • VMware ACE 2.0.x für Microsoft Windows: Installation von 2.5.0 build 118166
  • VMware ACE 1.x für Microsoft Windows: Installation von 1.0.8 build 125922
  • VMware Server 1.x: Installation von 1.0.8 build 126538 (http://www.vmware.com/download/server/ )
  • VMware ESXi 3.5: Installation von ESXe350-200811401-O-SG (http://download3.vmware.com/software/vi/ESXe350-200811401-O-SG.zip )
  • VMware ESX 3.5: Installation von ESX350-200811401-SG (http://download3.vmware.com/software/vi/ESX350-200811401-SG.zip )
  • VMware ESX 3.0.3: Installation von ESX303-200811401-BG (http://download3.vmware.com/software/vi/ESX303-200811401-BG.zip)
  • VMware ESX 3.0.2: Installation von ESX-1006980 (http://download3.vmware.com/software/vi/ESX-1006980.tgz )
• CVE-2008-1372:
  • VMware ESX 3.5: Installation von ESX350-200811401-SG (http://download3.vmware.com/software/vi/ESX350-200811406-SG.zip)
  • VMware ESX 3.0.3: Installation von ESX303-200811401-BG (http://download3.vmware.com/software/vi/ESX303-200811404-SG.zip )
  • VMware ESX 3.0.2: Installation von ESX-1006980 (http://download3.vmware.com/software/vi/ESX-1006982.tgz)

Vulnerability ID

• CVE-2008-4917
• CVE-2008-1372

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/