Közel száz VMware-sebezhetőség

Az októberi masszív frissítéseket követően újabb hatalmas biztonsági csomagot adott ki a VMware, melyek összesen közel száz sebezhetőséget orvosolnak a cég termékeiben - igaz, leginkább külső kódokról, beemelt csomagokról van szó.

Az egy hónappal ezelőtti 48 sebezhetőséget követően a VMware novemberben kiadott biztonsági értesítője 93 rést jelentett be a cég különféle szoftvereiben, beleértve a piacvezető szervervirtualizációs hypervisorát és a menedzsment felületet is. Ez a frissítési csomag ráadásul nem is foltozza be az összes rést, nem minden szoftververzióhoz készült el ugyanis az adott komponensek foltozása, a patcheket még készíti a vállalat. A közlöny alapján lényegében kizárólag az ESX 4.0 hpyervisorhoz adott most ki összesen 8 frissítést a cég.

A sebezhetőségek egy nagy csoportjáért a Java futtatási környezetek felelnek, melyek megtalálhatóak az ESX és VirtualCenter különféle verzióiban is. Az ESX 2.5.5 nem érintett, a 3.0.3 és 3.5, valamint a 4.0 igen, azonban csak utóbbihoz készült el a javítás. A VirtualCenter 2.5 és 2.0.2 verziókhoz és a Server 2.0-hoz még készül a frissítés, míg a legújabb vCenter 4.0  az Update 1 révén védett. Nem sebezhető így a Player, a Workstation, a Server 1.0 , az ESXi, a Fusion, az ACE.

Sebezhetőségek találhatóak a Service Console Linux kernelében és különféle csomagjaiban, az Apache Tomcatben és az NTP könyvtárakban is, melyek többnyire az ESX-et vagy az ESXi-t érintik, de kizárólag a 4-es generációhoz készültek el csak a javítások, amit valószínűleg két dolog magyaráz: ez a legújabb változata a VMware virtualizációs szoftvereinek, így az erőforrásokban prioritást élvez, valamint a jelek szerint egyes sebezhetőségek kifejezetten az ESX/ESXi 4.0-t érintik, amit ezen nyílt forrású csomagok verziójának eltérése magyarázhat. A sebezhetőség tipikusan a szolgáltatások leállását, kódinjektálást és jogosultságemelést tesznek lehetővé.