Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- VMware ESX Server 2.x ;
- VMware ESX Server 3.x.
Résumé
Plusieurs vulnérabilités dans VMware ESX Server permettent à une personne malintentionnée d'élever ses privilèges, d'atteindre à la confidentialité des données, d'exécuter du code arbitraire ou de provoquer un déni de service.
Description
Plusieurs vulnérabilités dans VMware ESX Server ont été découvertes :
- une erreur dans le pilote aacraid SCSI permet à un utilisateur local de provoquer un déni de service ou une élévation de privilèges ;
- une vulnérabilité dans Samba permet à une personne malveillante ayant accès à la console de service de provoquer un déni de service ou d'exécuter du code arbitraire à distance ;
- plusieurs vunérabilités dans le module python permettent de provoquer un déni de service, d'exécuter du code arbitraire ou d'atteindre à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de VMware pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité VMware VMSA-2008-0003 du 04 février 2008 : http://www.vmware.com/security/advisories/VMSA-2008-0003.html
- Référence CVE CVE-2006-7228 https://www.cve.org/CVERecord?id=CVE-2006-7228
- Référence CVE CVE-2007-2052 https://www.cve.org/CVERecord?id=CVE-2007-2052
- Référence CVE CVE-2007-4308 https://www.cve.org/CVERecord?id=CVE-2007-4308
- Référence CVE CVE-2007-4965 https://www.cve.org/CVERecord?id=CVE-2007-4965
- Référence CVE CVE-2007-6015 https://www.cve.org/CVERecord?id=CVE-2007-6015
