Objet: Multiples vulnérabilités des produits VMWare

Risque

• Exécution de code arbitraire à distance ;
• exécution de code arbitraire ;
• déni de service à distance ;
• déni de service ;
• atteinte à la confidentialité des données ;
• élévation de privilèges.

Systèmes affectés

• VMware Workstation 6.5.1 et versions antérieures ;
• VMware Player 2.5.1 et versions antérieures ;
• VMware ACE 2.5.1 et versions antérieures ;
• VMware Server 2.0 ;
• VMware Server 1.0.8 et versions antérieures ;
• VMware ESXi 3.5 ne disposant pas des mises à jour ESXe350-200811401-O-SG et ESXe350-200903201-O-UG ;
• VMware ESXi 3.5 ne disposant pas des mises à jour ESXe350-200811401-SG et ESXe350-200903201-UG ;
• VMware ESX 3.0.3 ne disposant pas de la mise à jour ESXe350-200811401-BG ;
• VMware ESX 3.0.2 ne disposant pas de la mise à jour ESX-1006980.

Résumé

De nombreuses vulnérabilités ont été découvertes dans les produits VMware. L'exploitation de ces vulnérabilités permet de réaliser un grand nombre d'actions malveillantes, dont l'exécution de code arbitraire à distance.

Description

De nombreuses vulnérabilités ont été découvertes dans les produits VMware. Ces vulnérabilités permettent en particulier de réaliser de nombreuses actions malveillantes depuis une machine virtuelle vers une machine hôte.

Solution

Se référer au bulletin de sécurité VMSA-2009-0005 du 3 avril 2009 pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité VMSA-2009-0005 du 3 avril 2009 :

  http://lists.vmware.com/pipermail/security-announce/2009/000054.html
  

• Référence CVE CVE-2008-4916 :

  https://www.cve.org/CVERecord?id=CVE-2008-4916
  

• Référence CVE CVE-2008-3761 :

  https://www.cve.org/CVERecord?id=CVE-2008-3761
  

• Référence CVE CVE-2009-0177 :

  https://www.cve.org/CVERecord?id=CVE-2009-0177
  

• Référence CVE CVE-2009-0518 :

  https://www.cve.org/CVERecord?id=CVE-2009-0518
  

• Référence CVE CVE-2009-0908 :

  https://www.cve.org/CVERecord?id=CVE-2009-0908
  

• Référence CVE CVE-2009-0909 :

  https://www.cve.org/CVERecord?id=CVE-2009-0909
  

• Référence CVE CVE-2009-0910 :

  https://www.cve.org/CVERecord?id=CVE-2009-0910
  

• Référence CVE CVE-2009-1146 :

  https://www.cve.org/CVERecord?id=CVE-2009-1146
  

• Référence CVE CVE-2009-1147 :

  https://www.cve.org/CVERecord?id=CVE-2009-1147
  

• Référence CVE CVE-2009-1244 :

  https://www.cve.org/CVERecord?id=CVE-2009-1244