Szerző: Bizó Dániel

2009. november 26. 14:19

Közel száz VMware-sebezhetőség

Az októberi masszív frissítéseket követően újabb hatalmas biztonsági csomagot adott ki a VMware, melyek összesen közel száz sebezhetőséget orvosolnak a cég termékeiben - igaz, leginkább külső kódokról, beemelt csomagokról van szó.

Az egy hónappal ezelőtti 48 sebezhetőséget követően a VMware novemberben kiadott biztonsági értesítője 93 rést jelentett be a cég különféle szoftvereiben, beleértve a piacvezető szervervirtualizációs hypervisorát és a menedzsment felületet is. Ez a frissítési csomag ráadásul nem is foltozza be az összes rést, nem minden szoftververzióhoz készült el ugyanis az adott komponensek foltozása, a patcheket még készíti a vállalat. A közlöny alapján lényegében kizárólag az ESX 4.0 hpyervisorhoz adott most ki összesen 8 frissítést a cég.

A sebezhetőségek egy nagy csoportjáért a Java futtatási környezetek felelnek, melyek megtalálhatóak az ESX és VirtualCenter különféle verzióiban is. Az ESX 2.5.5 nem érintett, a 3.0.3 és 3.5, valamint a 4.0 igen, azonban csak utóbbihoz készült el a javítás. A VirtualCenter 2.5 és 2.0.2 verziókhoz és a Server 2.0-hoz még készül a frissítés, míg a legújabb vCenter 4.0  az Update 1 révén védett. Nem sebezhető így a Player, a Workstation, a Server 1.0 , az ESXi, a Fusion, az ACE.

Sebezhetőségek találhatóak a Service Console Linux kernelében és különféle csomagjaiban, az Apache Tomcatben és az NTP könyvtárakban is, melyek többnyire az ESX-et vagy az ESXi-t érintik, de kizárólag a 4-es generációhoz készültek el csak a javítások, amit valószínűleg két dolog magyaráz: ez a legújabb változata a VMware virtualizációs szoftvereinek, így az erőforrásokban prioritást élvez, valamint a jelek szerint egyes sebezhetőségek kifejezetten az ESX/ESXi 4.0-t érintik, amit ezen nyílt forrású csomagok verziójának eltérése magyarázhat. A sebezhetőség tipikusan a szolgáltatások leállását, kódinjektálást és jogosultságemelést tesznek lehetővé.

A nyári leállás után, szeptember 29-30-án az Amazon felhőszolgáltatása és a microservicek témája köré épülő meetupokkal indul újra a HWSW free! meetup-sorozat.

a címlapról

Hirdetés

AWS és microservice meetupokkal kezdjük az őszt!

2021. szeptember 16. 20:39

A nyári leállás után, szeptember 29-30-án az Amazon felhőszolgáltatása és a microservicek témája köré épülő meetupokkal indul újra a HWSW free! meetup-sorozat.