Sicherheitsupdates von VMware
VMware schlieĂźt mehrere LĂĽcken im ESX Server und VirtualCenter. Unter anderem konnte ein Angreifer ĂĽber das Netz Code in einen Server schleusen und starten.
- Daniel Bachfeld
Der Hersteller von Virtualisierungslösungen VMware hat Updates für seine Produkte ESX Server und VirtualCenter veröffentlicht, die mehrere Schwachstellen beseitigen sollen. So findet sich im ESX Server in den Versionen 3.0.1 und 3.0.2 ein Buffer Overflow im verwendeten OpenPegasus CIM Management Server, durch den ein Angreifer Code aus der Ferne einschleusen und mit Root-Rechten ausführen kann. Laut Bericht steckt der Fehler in der Funktion PAMBasicAuthenticator::PAMCallback() zur Authentifizierung mittels Pluggable Authentication Moduls (PAM). ESX Server 3.5 und ESX Server 3i sind nicht betroffen. Nutzern der Version 2.5 empfiehlt der Hersteller, auf eine der fehlerkorrigierten Fassungen ab Version 3.0.1 zu wechseln.
Nicht nur VMware ist von dem Problem in OpenPegasus Version 2.7 und vorherigen Fassungen betroffen, auch andere Hersteller wie Red Hat geben neue OpenPegasus-Pakete heraus. OpenPegasus ist ein Tool fĂĽr Web-Based Enterprise Management (WBEM) und soll die Ăśberwachung und Konfiguration verschiedener Ressourcen im Netz vereinfachen.
Des Weiteren schließen die VMware-Updates Lücken im Service-Console-Paket der ESX Server, zu denen Samba, Perl, OpenSSL und util-linux gehören. Kritisch ist hier einzig die Lücke in Samba, durch die es mit präparierten Paketen an den Server möglich ist, Code über das LAN einzuschleusen und mit den Rechten des Servers auszuführen.
Schließlich beseitigen die Updates noch einige ältere Lücken in der im Lieferumfang von VirtualCenter Management Server 2 und ESX Server 3.0.1 sowie 3.0.2 enthaltenen Software. Dazu gehört der Tomcat-Server, der in den Versionen 5.5.17 bis 5.5.25 einige Schwachstellen aufwies. Zudem wurde das Java Runtime Environment (JRE) aktualisiert, um weitere Lücken zu schließen.
Weitere Hinweise und Links zu den Updates sind in den Original-Fehlerberichten des Herstellers zu finden.
Siehe dazu auch:
- VMSA-2008-0002 Low severity security update for VirtualCenter and ESX Server 3.0.2, and ESX 3.0.1, Fehlerbericht von VMware
- Moderate OpenPegasus PAM Authentication Buffer Overflow and updated service console packages, Fehlerbericht von VMware
(dab)
