Objet: Multiples vulnérabilités dans VMware ESX

Risque

• Exécution de code arbitraire à distance ;
• déni de service ;
• élévation de privilèges.

Systèmes affectés

• VMware ESX 3.0.x ;
• VMware ESX 3.5.x ;
• VMware ESX 4.0.x ;
• VMware ESX 4.1.x.

Résumé

De multiples vulnérabilités affectant différents logiciels inclus dans VMware ESX Console OS (COS) ont été corrigées.

Description

Plusieurs logiciels vulnérables inclus dans VMware ESX Console OS ont été mis à jour par l'éditeur :

• DHCP est mis à jour pour corriger une vulnérabilité permettant à un utilisateur malveillant distant de provoquer un déni de service et d'exécuter du code arbitraire (CVE-2011-0997) ;
• glibc est mise à jour pour corriger de multiples vulnérabilités exploitables localement (CVE 2010-0296, CVE-2011-0536, CVE-2011-997 et CVE-2011-1071).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

VMware fourni pour l'instant des correctifs pour la version 4.1 d'ESX. Les correctifs pour les versions 4.0 et 3.5 ont été annoncés.

Documentation

• Bulletin de sécurité VMware VMSA-2011-0010 du 28 juillet 2011 :

  http://www.vmware.com/security/advisories/VMSA-2011-0010.html
  

• Référence CVE CVE-2010-0296 :

  https://www.cve.org/CVERecord?id=CVE-2010-0296
  

• Référence CVE CVE-2011-0536 :

  https://www.cve.org/CVERecord?id=CVE-2011-0536
  

• Référence CVE CVE-2011-0997 :

  https://www.cve.org/CVERecord?id=CVE-2011-0997
  

• Référence CVE CVE-2011-1071 :

  https://www.cve.org/CVERecord?id=CVE-2011-1071
  

• Référence CVE CVE-2011-1095 :

  https://www.cve.org/CVERecord?id=CVE-2011-1095
  

• Avis CERTA CERTA-2011-AVI-190 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-190/
  

• Avis CERTA CERTA-2011-AVI-193 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-193/