VMware ESX Server sérülékenységek


2013. február 1. 13:10

CH azonosító

CH-8384

Angol cím

VMware ESX Server Multiple Vulnerabilities

Felfedezés dátuma

2013.01.31.

Súlyosság

Közepes

Érintett rendszerek

VMware
VMware ESX server

Érintett verziók

VMware ESX Server 3.x, 4.x

Összefoglaló

A VMware ESX Server több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.

Leírás

  1. A hitelesítési protokoll egy hibáját jelentették, amelyről az alábbi hivatkozáson található bővebb információ:
    CERT-Hungary CH-8382
  2. A szoftverben felhasznált libxml2 sérülékenységét jelentették, amelyről az alábbi hivatkozáson található bővebb információ:
    CERT-Hungary CH-7291
  3. A libxml2 egy másik sérülékenységet egy off-by-one hiba okozza, ami az “xmlXPtrEvalXPtrPart()” függvényben keletkezik (pointer.c), bizonyos XPointer érték dekódolása közben. Ezt kihasználva érvényes memória területen kívüli írást (out-of-bounds write) lehet előidézni.
  4. A szoftverben felhasznált bind több sérülékenységét jelentették, amelyekről az alábbi hivatkozásokon található bővebb információ:
    CERT-Hungary CH-7564
  5. A szoftverben felhasznált libxslt több sérülékenységét jelentették, amelyekről az alábbi hivatkozásokon található bővebb információ:
    CERT-Hungary CH-4520
    CERT-Hungary CH-7102
    CERT-Hungary CH-7487
  6. A libxslt egy másik sérülékenységét jelentették a “xsltCompilePatternInternal()” függvényben (libxslt/pattern.c), ami az XSLT minták feldolgozása közben keletkezik, és amelyet kihasználva érvényes memória területen kívüli olvasást lehet előidézni egy speciálisan összeállított fájl segítségével.

A sérülékenységeket a 3.5, 4.0 és a 4.1 verziókban jelentették.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Other (Egyéb)
Unspecified (Nem részletezett)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: www.vmware.com
SECUNIA 52061
SECUNIA 48212
CERT-Hungary CH-8382
CERT-Hungary CH-7291
CERT-Hungary CH-7564
CERT-Hungary CH-4520
CERT-Hungary CH-7102
CERT-Hungary CH-7487
CVE-2011-1202 - NVD CVE-2011-1202
CVE-2011-3102 - NVD CVE-2011-3102
CVE-2011-3970 - NVD CVE-2011-3970
CVE-2012-2807 - NVD CVE-2012-2807
CVE-2012-2825 - NVD CVE-2012-2825
CVE-2012-2870 - NVD CVE-2012-2870
CVE-2012-2871 - NVD CVE-2012-2871
CVE-2012-4244 - NVD CVE-2012-4244
CVE-2013-1405 - NVD CVE-2013-1405

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-21590 – Juniper Junos OS Improper Isolation or Compartmentalization sebezhetősége
CVE-2025-24993 – Microsoft Windows NTFS Heap-Based Buffer Overflow sebezhetősége
CVE-2025-24991 – Microsoft Windows NTFS Out-Of-Bounds Read sebezhetősége
CVE-2025-24985 – Microsoft Windows Fast FAT File System Driver Integer Overflow sebezhetősége
CVE-2025-24984 – Microsoft Windows NTFS Information Disclosure sebezhetősége
CVE-2025-24983 – Microsoft Windows Win32k Use-After-Free sebezhetősége
CVE-2025-26633 – Microsoft Windows Management Console (MMC) Improper Neutralization sebezhetősége
CVE-2025-27363 – FreeType srülékenysége
CVE-2025-24201 – Apple WebKit sérülékenysége
Tovább a sérülékenységekhez »