Sicherheits-Update fĂĽr VMware ESX 4.0.0
Fehler in sudo und udev ermöglichem einem angemeldeten Anwender an Root-Rechte zu gelangen. Die Lücken sind in den Open-Source-Projekten bereits seit Monaten beseitigt.
- Daniel Bachfeld
VMware hat ein Update für das Console-Package für VMware ESX 4.0.0 veröffentlicht, um Schwachstellen in udev, curl und sudo zu schließen. Die Fehler in sudo und udev ermöglichem einem angemeldeten Anwender an Root-Rechte zu gelangen.
Durch den Fehler in curl können Angreifer Einblick in Dateien auf dem System erhalten oder diese sogar überschreiben. Ursache ist die automatische Redirect-Funktion von cURL, womit ein präparierter Server von einer http://- auf eine file://-URL umleiten kann. Die nun geschlossenen Lücken sind in den Open-Source-Projekten bereits seit mehreren Monaten geschlossen.
Siehe dazu auch:
- VMSA-2009-0009 ESX Service Console updates for udev, sudo, and curl, Bericht von VMware
- Sicherheits-Update fĂĽr Dateitransfertool cUR
- Schwachstellen in Linux ermöglichen Root-Rechte
(dab)
