Weiterer Fehlerbericht von VMware
Der Hersteller hat zusätzliche Sicherheitslücken gemeldet. Diesmal sind auch die Server-Produkte ESX und ESXi betroffen.
- Daniel Bachfeld
Erst vor wenigen Tagen hat VMware eine Meldung über Sicherheitslücken in seinen Desktop-Produkten veröffentlicht. Nun legt der Hersteller einen weiteren Fehlerbericht nach, der zusätzliche Fehler sowohl in den Desktop- als auch den Server-Produkten beschreibt. Darin heißt es, dass sich ein Fehler im Treiber HGFS.sys des VMware-Tool-Pakets ausnutzen lässt, um in einem Windows-Gast-System seine Rechte zu erhöhen. Durch einen Fehler in vmware-authd soll ein am Host-System angemeldeter Anwender seine Rechte ausweiten können.
Eine Lücke im Openwsman-System-Management eignet sich zudem, um an Root-Rechte zu gelangen. Auch hier muss ein Angreifer über gültige Anmeldedaten zumindest eines eingeschränkten Nutzers verfügen. Schließlich gibt es noch mehrere Buffer Overflows in der VMware-VIX-API. Zusätzlich führt die Beschreibung noch einige ältere Lücken in Open-Source-Paketen wie unzip, tcltk, cyrus-sasl und Kerberos auf, die auf den Server-Systemen von VMware zum Einsatz kommen.
Eine Liste der betroffenen Systeme ist im Original-Fehlerbericht zu finden. Der Hersteller hat für alle verwundbaren Produkte Updates bereitgestellt. Wer sein Desktop-Produkt bereits Anfang der Woche aktualisiert hat, ist schon auf dem neuesten Stand. Nur Betreiber der Server-Lösungen müssen reagieren.
Siehe dazu auch:
- VMSA-2008-0009 Updates to VMware Workstation, VMware Player, VMware ACE, VMware Fusion, VMware Server, VMware VIX API, VMware ESX, VMware ESXi resolve critical security issues, Fehlerbericht von VMware
(dab)
