Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Lyukakkal teli Java a VMware termékeiben

Bizó Dániel, 2010. február 02. 13:28
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Összesen 53 sebezhetőségre figyelmeztet virtualizációs termékeivel kapcsolatban a VMware, amelyek a beágyazott Java-futtatási környezetben találhatóak. Ezen túlmenően idén számos termékverziójának elérhetőségét megszünteti a cég, valamint több termék átkerül a támogatási ciklus következő fázisába.

hirdetés

A Java környezetben található sebezhetőségek az ESX 3.0.3, 3.5 és 4.0, a vSphere Management Assistantet, a vCenter 4.0, 2.5 és 2.0.2, valamint a Server 2.0 kiadásokat érintik. Javítás azonban eddig kizárólag a vCenter (VirtualCenter) 2.5-höz készült el az Update 6 formájában, a többi szoftverhez csak későbbi Update vagy önálló patch formájában fog érkezni a foltozás. A VMware biztonsági közlönye alapján amennyiben a támadónak hozzáférése van a konzolhoz, úgy kiaknázhatja ezeket a réseket, amelyek a JRE 1.5.0_18, 20 és 22-es verziókban találhatóak. A közlemény itt olvasható.

A sebezhetőségek mellett érdemes arra is figyelni, hogy a VMware néhány hónap múlva, májusban számos termékének már nem aktuális verzióját megszünteti, vagyis azok nem lesznek elérhetőek a letöltési oldalakon. Ez az ESX 3.5, 3.0 és a VirtualCenter 2.5 termékvonalakat érinti, így a 3.5 Update 4 és megelőző kiadások többé nem lesznek elérhetőek, így amennyiben ezekre valaki igényt tart, annak a cég azt javasolja, hogy készítsen tartalékmásolatokat. Májustól kezdve kizárólag a legutóbbi kiadások, az ESX 3.5 Update 5, 3.0.3 Update 1, és a VirtualCenter 2.5 Update 6 lesznek elérhetőek - ez utóbbi hamarosan megjelenik.

Ezeken túlmenően a május, július és június öt termékvonal számára hozza majd el a következő fázist a támogatási ciklusban. Az ESX és ESXi 3.5 májusban átkerül az általános támogatottságból a kiterjesztett támogatottságba, és hasonlóan jár a vCenter 2.5, és júliusban a Consolidated Backup 1.5 is. A 3 év hosszúságú kiterjesztett támogatás a VMware-nél azt jelenti, hogy megszűnik az új szerverhardverek garantált támogatása, és csak apróbb fejlesztéseket vállal a cég, így a nem kritikus hibákkal sem foglalkozik már. Produktív környezetbe ezzel továbbra is alkalmasak maradnak a szoftverek a meglévő hardvereken, a stabilitás vagy biztonság nem csorbul. Az ESX 2.5-nek azonban júniusban lejár a kiterjesztett támogatottsága, vagyis a kód mindenféle karbantartása megszűnik.  További információ erre.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!