Összefoglaló
A VMware Studio két olyan sérülékenységét jelentették, amelyeket kihasználva rosszindulatú helyi felhasználók emelt szintű jogosultságokat szerezhetnek és rosszindulatú felhasználók feltörhetik a sérülékeny rendszert.
Leírás
- A Virtual Appliance Management Infrastructure (VAMI) egy meghatározatlan hibáját kihasználva tetszőleges parancsok futtathatóak.
Megjegyzés: Ez a VMware Studio 2.0 verzióval készült virtuális gépeket is érinti.
A hiba sikeres kihasználásához szükséges egy korlátozott jogosultságokkal rendelkező felhasználói fiók (nem alap beállítású) és a támadó ismerete a fiók bizalmas adatait illetően.
- A virtuális gép nem biztonságos módon használ ideiglenes fájlokat. Ezt kihasználva például emelt szintű jogosultság szerezhető.
A hiba sikeres kihasználásához szükséges egy korlátozott jogosultságokkal rendelkező felhasználói fiók (nem alap beállítású) és a támadó ismerete a fiók bizalmas adatait illetően.
Megoldás
Frissítsen a VMware Studio 2.1 build 1318-268792 változatára. A virtuális gépeket készítse el újra a Studio 2.1 segítségével.
Támadás típusa
Input manipulation (Bemenet módosítás)Misconfiguration (Konfiguráció)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Gyártói referencia: www.wmware.com
SECUNIA 40507
CVE-2010-2427 - NVD CVE-2010-2427
CVE-2010-2667 - NVD CVE-2010-2667