S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 25 juillet 2003
N° CERTA-2003-AVI-124
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de VMware pour plates-formes Linux

Gestion du document

Référence CERTA-2003-AVI-124
Titre Vulnérabilité de VMware pour plates-formes Linux
Date de la première version25 juillet 2003
Date de la dernière version25 juillet 2003
Source(s) Avis de sécurité VMware
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Élévation de privilèges

Systèmes affectés

  • VMware GSX Server versions 2.5.1 et antérieures pour plates-formes Linux ;
  • VMware Workstation versions 4.0 et antérieures pour plates-formes Linux.

Les versions de VMware GSX Server et VMware Workstation pour plates-formes Windows ne sont pas vulnérables.

Résumé

Une vulnérabilité des produits VMware permet à un utilisateur mal intentionné de lancer des applications avec les privilèges du super-utilisateur (root).

Description

Dans les applications VMware GSX Server et VMware Worksation sur plates-formes Linux, lorsqu'une machine virtuelle est lancée, il est possible pour un utilisateur local de modifier certaines variables d'environnement pour exécuter des applications avec les privilèges root.

Il est alors possible pour cet utilisateur d'avoir un accès total au système hébergeant la machine virtuelle.

Solution

Les versions GSX Server 2.5.1 patch 1 et VMware Workstation 4.0.1 corrigent cette vulnérabilité.

Documentation

Gestion détaillée du document

    le 25 juillet 2003
    version initiale.