VMware ESX Server sérülékenységek


2013. február 1. 13:10

CH azonosító

CH-8384

Angol cím

VMware ESX Server Multiple Vulnerabilities

Felfedezés dátuma

2013.01.31.

Súlyosság

Közepes

Érintett rendszerek

VMware
VMware ESX server

Érintett verziók

VMware ESX Server 3.x, 4.x

Összefoglaló

A VMware ESX Server több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.

Leírás

  1. A hitelesítési protokoll egy hibáját jelentették, amelyről az alábbi hivatkozáson található bővebb információ:
    CERT-Hungary CH-8382
  2. A szoftverben felhasznált libxml2 sérülékenységét jelentették, amelyről az alábbi hivatkozáson található bővebb információ:
    CERT-Hungary CH-7291
  3. A libxml2 egy másik sérülékenységet egy off-by-one hiba okozza, ami az “xmlXPtrEvalXPtrPart()” függvényben keletkezik (pointer.c), bizonyos XPointer érték dekódolása közben. Ezt kihasználva érvényes memória területen kívüli írást (out-of-bounds write) lehet előidézni.
  4. A szoftverben felhasznált bind több sérülékenységét jelentették, amelyekről az alábbi hivatkozásokon található bővebb információ:
    CERT-Hungary CH-7564
  5. A szoftverben felhasznált libxslt több sérülékenységét jelentették, amelyekről az alábbi hivatkozásokon található bővebb információ:
    CERT-Hungary CH-4520
    CERT-Hungary CH-7102
    CERT-Hungary CH-7487
  6. A libxslt egy másik sérülékenységét jelentették a “xsltCompilePatternInternal()” függvényben (libxslt/pattern.c), ami az XSLT minták feldolgozása közben keletkezik, és amelyet kihasználva érvényes memória területen kívüli olvasást lehet előidézni egy speciálisan összeállított fájl segítségével.

A sérülékenységeket a 3.5, 4.0 és a 4.1 verziókban jelentették.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Other (Egyéb)
Unspecified (Nem részletezett)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: www.vmware.com
SECUNIA 52061
SECUNIA 48212
CERT-Hungary CH-8382
CERT-Hungary CH-7291
CERT-Hungary CH-7564
CERT-Hungary CH-4520
CERT-Hungary CH-7102
CERT-Hungary CH-7487
CVE-2011-1202 - NVD CVE-2011-1202
CVE-2011-3102 - NVD CVE-2011-3102
CVE-2011-3970 - NVD CVE-2011-3970
CVE-2012-2807 - NVD CVE-2012-2807
CVE-2012-2825 - NVD CVE-2012-2825
CVE-2012-2870 - NVD CVE-2012-2870
CVE-2012-2871 - NVD CVE-2012-2871
CVE-2012-4244 - NVD CVE-2012-4244
CVE-2013-1405 - NVD CVE-2013-1405

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége
CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége
CVE-2025-3102 – SureTriggers sérülékenysége
CVE-2025-24859 – Apache Roller sebezhetősége
Tovább a sérülékenységekhez »