Risques
- Déni de service
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- VMware ESX 3.0.x ;
- VMware ESX 3.5.x ;
- VMware ESX 4.0.x ;
- VMware ESX 4.1.x.
Résumé
De multiples vulnérabilités affectant différents logiciels inclus dans VMware ESX Console OS (COS) ont été corrigées.
Description
Plusieurs logiciels vulnérables inclus dans VMware ESX Console OS ont été mis à jour par l'éditeur :
- DHCP est mis à jour pour corriger une vulnérabilité permettant à un utilisateur malveillant distant de provoquer un déni de service et d'exécuter du code arbitraire (CVE-2011-0997) ;
- glibc est mise à jour pour corriger de multiples vulnérabilités exploitables localement (CVE 2010-0296, CVE-2011-0536, CVE-2011-997 et CVE-2011-1071).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
VMware fourni pour l'instant des correctifs pour la version 4.1 d'ESX. Les correctifs pour les versions 4.0 et 3.5 ont été annoncés.
Documentation
- Avis CERTA CERTA-2011-AVI-190 : http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-190/
- Avis CERTA CERTA-2011-AVI-193 : http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-193/
- Bulletin de sécurité VMware VMSA-2011-0010 du 28 juillet 2011 : http://www.vmware.com/security/advisories/VMSA-2011-0010.html
- Référence CVE CVE-2010-0296 https://www.cve.org/CVERecord?id=CVE-2010-0296
- Référence CVE CVE-2011-0536 https://www.cve.org/CVERecord?id=CVE-2011-0536
- Référence CVE CVE-2011-0997 https://www.cve.org/CVERecord?id=CVE-2011-0997
- Référence CVE CVE-2011-1071 https://www.cve.org/CVERecord?id=CVE-2011-1071
- Référence CVE CVE-2011-1095 https://www.cve.org/CVERecord?id=CVE-2011-1095
