VMWare 產品多個漏洞
最後更新
2011年01月28日
發佈日期:
2008年06月06日
2892
觀看次數
風險: 中度風險
在不同的 VMware 產品發現多個漏洞,可被本機或遠端攻擊者繞過保安限制,進行阻斷服務攻擊或危及受影響的系統。
1. 由於 "HGFS.sys" 驅動程式存在輸入驗証錯誤,本機攻擊者可以利用此漏洞在訪客系統上執行任意程式碼。
2. 由於 "vmware-authd" 存在不可靠的函式庫路徑錯誤,未經授權的本機攻擊者可以利用漏洞在 Linux 主機系統上執行任意程式碼。
3. 由於在 openwsman management service 處理 "Content-Length" 標頭上存在錯誤,未經授權的使用者可以利用此漏洞獲取根帳戶的權限。
4. 由於 VIX 應用程式界面 (API) 存在緩衝區滿溢錯誤,利用此漏洞可在主機系統或透過訪客作業系統在 ESX 伺服器的服務管理介面上執行程式碼。
影響
- 阻斷服務
- 遠端執行程式碼
- 繞過保安限制
受影響之系統或技術
- VMware Workstation
- VMware Player
- VMware ACE
- VMware Fusion
- VMware Server
- VMware VIX API
- VMware ESX
- VMware ESXi
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 升級至 VMware Workstation 5.5.7 版本:
http://www.vmware.com/download/ws/ - 升級至 VMware Player 2.0.4 或 1.0.7 版本:
http://www.vmware.com/download/player/ - 升級至 VMware ACE 2.0.4 或 1.0.6 版本:
http://www.vmware.com/download/ace/ - 升級至 VMware Server 1.0.6 版本:
http://www.vmware.com/download/server/ - 升級至 VMware Fusion 1.1.3 版本:
http://www.vmware.com/download/fusion/ - 升級至 VMware VIX 1.1.4 版本:
http://www.vmware.com/support/developer/vix-api/ - VMware ESX 修補程式:
http://www.vmware.com/security/advisories/VMSA-2008-0009.html
漏洞識別碼
- CVE-2006-1721
- CVE-2007-4772
- CVE-2007-5378
- CVE-2007-5671
- CVE-2008-0062
- CVE-2008-0063
- CVE-2008-0553
- CVE-2008-0888
- CVE-2008-0948
- CVE-2008-0967
- CVE-2008-2097
- CVE-2008-2100
資料來源
相關連結
分享至