Sicherheitsupdate für VMware ESX
Ein vorangegangenes Update hatte eine verwundbare Web-Verwaltungsoberfläche installiert, die sich von einem Angreifer unter Umständen beliebige Befehle übers Netz erteilen lässt.
- Christiane Rütten
VMware hat Updates für seine Virtual-Server-Lösungen ESX und ESXi 3.5 herausgegeben. Sie beheben kritische Pufferüberlauf-Schwachstellen in dem beigelegten Verwaltungssystem Openwsman, die dem ESX/ESXi Update 2 in der fehlerhaften Version 2.0.0 beilag.
Angreifer mit Zugang zum Verwaltungs-Frontend eines verwundbaren VM-Servers können das System lahmlegen oder möglicherweise auch dem Hostsystem beliebige Befehle erteilen. Andere WMware-Produkte wie etwa die Workstation-Varianten sind von dem Problem offenbar nicht betroffen. Admins sollten die Updates umgehend einspielen.
Bereits kurz nach seinem Erscheinen verursachte das Update 2 Ärger mit der Zeiteinstellung der Gastsysteme und musste nachgebessert werden. Auch die Openwsman-Umgebung bescherte der Virtualisierungssoftware schon einmal ernste Sicherheitsprobleme.
Siehe dazu auch:
- VMSA-0008-0015 Updated ESXi and ESX 3.5 packages address critical security issue in openwsman, VMware-Advisory
(cr)