 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Des failles sérieuses dans les produits VMware
par mail
l'article
Le 28 août dernier, VMware a corrigé de nombreuses vulnérabilités grâce à un lot de “ patches. La série de failles concerne les produits VMware Workstation, VMware Player, VMware Ace, VMware Fusion, VMware Server et VMware ESX Server. Elles ont été répertoriées sur des versions tournant sous Windows et d'autres sous Linux. Mac OS X est également touché avec Fusion. C'est d'ailleurs le seul produit pour lequel aucun correctif n'est disponible.
Une mise à jour de VMware Server indispensable
Les différentes failles permettent des attaques plus ou moins critiques en cas d'exploitation. Voici leur détail :
- Vulnérabilité due aux contrôles ActiveX sous Internet Explorer. L'exploitation de ces contrôles ActiveX peut résulter en un refus de service ou à l'exécution d'un code arbitraire dans le cas de l'ouverture d'un site ou d'un fichier infecté sous IE. Sont touchés les Workstation version 5.x et 6.x, le Player version 1.x et 2.x, ACE version 1.x et 2.x et Server version 1.x. Les dernières mises à jour de ces produits résolvent cette vulnérabilité.
- Vulnérabilité due aux extensions ISAPI, API utilisées dans les produits Server pour étendre les fonctionnalités de l'Internet Information Server (IIS). L'une des extensions ISAPI est vulnérable à un déni de service distant. Server 1.x est touché, et “ patchable ” par la dernière mise à jour.
- Vulnérabilité due à OpenProcess. Elle permet à un utilisateur d'obtenir un accès élevé sur la machine hôte et de lancer des codes arbitraires sur le système hôte. Workstation 5.x, ACE 1.x, Player 1.x et Server 1.x sont touchés. Les dernières mises à jour corrigent cette faille.
- Vulnérabilité sur la librairie FreeType. Un utilisateur malintentionné peut causer un déni de service ou lancer un code arbitraire. Workstation 5.x et 6.x, Player 1.x et 2.x, Server 1.x, Fusion 1.x, ESX 2.5.4 et 2.5.5 sont touchés. Pour les trois premiers, les mises à jour résolvent le problème, les patches pour Fusion et pour ESX sont en développement.
- Vulnérabilité sous Cairo. Après lecture d'un fichier PNG infecté, un utilisateur malintentionné peut lancer un code arbitraire ou provoquer un déni de service. Workstation 6.x, Player 2.x et Fusion 1.x sont touchés. Pour les deux premiers, les dernières mises à jour corrigent le défaut, Fusion attend son correctif.
- Vulnérabilité due à la VMware Consolidated Backup (VCB). Un utilisateur connecté à partir de la console de commande peut avoir accès aux login et mot de passe utilisés par la ligne de commande VCB. ESX 3.0.1, 3.0.2, 3.0.3 et 3.5 sont concernés par cette faille et sont “ patchables ”.
- Vulnérabilité due à la librairie libpng. Un utilisateur peut créer une image PNG infectée qui provoque le crash d'une application liée à libpng quand le fichier est manipulé. ESX 2.5.4, 2.5.5, 3.0.1, 3.0.2, 3.0.3, 3.5 et ESXi 3.5 sont touchés. ESX 3.0.1, 3.0.2, 3.0.3 sont corrigés, les autres versions attendent leurs correctifs.
Les correctifs sont disponibles sur le site de l'éditeur. Secunia, entreprise spécialisée dans la sécurité, considère notamment la mise à jour de VMware Server comme indispensable.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM