VMware ESX Server sérülékenységek


2013. február 1. 13:10

CH azonosító

CH-8384

Angol cím

VMware ESX Server Multiple Vulnerabilities

Felfedezés dátuma

2013.01.31.

Súlyosság

Közepes

Érintett rendszerek

VMware
VMware ESX server

Érintett verziók

VMware ESX Server 3.x, 4.x

Összefoglaló

A VMware ESX Server több sérülékenységét jelentették, amiket kihasználva a támadók bizalmas információkat szerezhetnek, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.

Leírás

  1. A hitelesítési protokoll egy hibáját jelentették, amelyről az alábbi hivatkozáson található bővebb információ:
    CERT-Hungary CH-8382
  2. A szoftverben felhasznált libxml2 sérülékenységét jelentették, amelyről az alábbi hivatkozáson található bővebb információ:
    CERT-Hungary CH-7291
  3. A libxml2 egy másik sérülékenységet egy off-by-one hiba okozza, ami az “xmlXPtrEvalXPtrPart()” függvényben keletkezik (pointer.c), bizonyos XPointer érték dekódolása közben. Ezt kihasználva érvényes memória területen kívüli írást (out-of-bounds write) lehet előidézni.
  4. A szoftverben felhasznált bind több sérülékenységét jelentették, amelyekről az alábbi hivatkozásokon található bővebb információ:
    CERT-Hungary CH-7564
  5. A szoftverben felhasznált libxslt több sérülékenységét jelentették, amelyekről az alábbi hivatkozásokon található bővebb információ:
    CERT-Hungary CH-4520
    CERT-Hungary CH-7102
    CERT-Hungary CH-7487
  6. A libxslt egy másik sérülékenységét jelentették a “xsltCompilePatternInternal()” függvényben (libxslt/pattern.c), ami az XSLT minták feldolgozása közben keletkezik, és amelyet kihasználva érvényes memória területen kívüli olvasást lehet előidézni egy speciálisan összeállított fájl segítségével.

A sérülékenységeket a 3.5, 4.0 és a 4.1 verziókban jelentették.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Input manipulation (Bemenet módosítás)
Other (Egyéb)
Unspecified (Nem részletezett)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: www.vmware.com
SECUNIA 52061
SECUNIA 48212
CERT-Hungary CH-8382
CERT-Hungary CH-7291
CERT-Hungary CH-7564
CERT-Hungary CH-4520
CERT-Hungary CH-7102
CERT-Hungary CH-7487
CVE-2011-1202 - NVD CVE-2011-1202
CVE-2011-3102 - NVD CVE-2011-3102
CVE-2011-3970 - NVD CVE-2011-3970
CVE-2012-2807 - NVD CVE-2012-2807
CVE-2012-2825 - NVD CVE-2012-2825
CVE-2012-2870 - NVD CVE-2012-2870
CVE-2012-2871 - NVD CVE-2012-2871
CVE-2012-4244 - NVD CVE-2012-4244
CVE-2013-1405 - NVD CVE-2013-1405

Legfrissebb sérülékenységek
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »