Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- atteinte à la confidentialité des données ;
- élévation de privilèges.
Systèmes affectés
- VMware ESX versions 4.0 et 4.1 ;
- VMware ESXi version 4.1.
Résumé
De multiples vulnérabilités sont présentes dans VMware ESX et ESXi. L'exploitation réussie de celles-ci permet entre autres l'exécution de code arbitraire à distance.
Description
Une mise à jour du noyau de Service Console OS corrige les vulnérabilités suivantes:
- CVE-2010-0291 (élévation de privilèges et déni de service)
- CVE-2010-0307 (déni de service)
- CVE-2010-0415 (déni de service)
- CVE-2010-0622 (déni de service)
- CVE-2010-1087 (déni de service)
- CVE-2010-1088 (impact non défini)
- CVE-2010-1437 (déni de service)
De même une mise à jour des paquets likewise corrige les vulnérabilités suivantes:
- CVE-2009-0844 (déni de service à distance)
- CVE-2009-0845 (déni de service à distance)
- CVE-2009-0846 (exécution de code arbitraire à distance)
- CVE-2009-4212 (exécution de code arbitraire à distance)
- CVE-2010-1321 (déni de service)
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité VMware VMSA-2010-0016 du 15 novembre 2010
http://lists.vmware.com/pipermail/security-announce/2010/000108.html
- Référence CVE CVE-2010-0291 :
https://www.cve.org/CVERecord?id=CVE-2010-0291
- Référence CVE CVE-2010-0307 :
https://www.cve.org/CVERecord?id=CVE-2010-0307
- Référence CVE CVE-2010-0415 :
https://www.cve.org/CVERecord?id=CVE-2010-0415
- Référence CVE CVE-2010-0622 :
https://www.cve.org/CVERecord?id=CVE-2010-0622
- Référence CVE CVE-2010-1087 :
https://www.cve.org/CVERecord?id=CVE-2010-1087
- Référence CVE CVE-2010-1088 :
https://www.cve.org/CVERecord?id=CVE-2010-1088
- Référence CVE CVE-2010-1437 :
https://www.cve.org/CVERecord?id=CVE-2010-1437
- Référence CVE CVE-2009-0844 :
https://www.cve.org/CVERecord?id=CVE-2009-0844
- Référence CVE CVE-2009-0845 :
https://www.cve.org/CVERecord?id=CVE-2009-0845
- Référence CVE CVE-2009-0846 :
https://www.cve.org/CVERecord?id=CVE-2009-0846
- Référence CVE CVE-2009-4212 :
https://www.cve.org/CVERecord?id=CVE-2009-4212
- Référence CVE CVE-2010-1321 :
https://www.cve.org/CVERecord?id=CVE-2010-1321