Avis du CERT-FR

Objet: Vulnérabilité dans VMware ESXi

Gestion du document

Référence	CERTA-2010-AVI-626
Titre	Vulnérabilité dans VMware ESXi
Date de la première version	23 décembre 2010
Date de la dernière version	23 décembre 2010
Source(s)	Bulletin de sécurité VMware VMSA-2010-0020 du 21 décembre 2010
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

VMware ESXi 4.1 Update Installer.

Résumé

Une vulnérabilité dans VMware ESXi permet à une personne malintentionnée de contourner la politique de sécurité.

Description

Une vulnérabilité dans l'installeur de mise à jour vers la verstion 4.1 de VMware ESXi ne gère pas correctement le mode d'authentification SFCB (Small Footprint CIM Broker). Cette vulnérabilité permet à une personne malintentionnée de s'authentifier à l'aide d'un couple nom d'utilisateur/mot de passe de son choix.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité VMware VMSA-2010-0020 du 21 décembre 2010 :
```
http://www.vmware.com/security/advisories/VMSA-2010-0020.html
```

Référence CVE CVE-2010-4573 :

https://www.cve.org/CVERecord?id=CVE-2010-4573

Gestion détaillée du document

le 23 décembre 2010: version initiale.