Risque
- Déni de service à distance ;
- exécution de code arbitraire à distance ;
- contournement de la politique de sécurité.
Systèmes affectés
- VMware ESX 4.x Console OS (COS) ;
- VMware ESX 3.x Console OS (COS).
Résumé
De multiples vulnérabilités affectant différents logiciels inclus dans VMware ESX Console OS ont été corrigées.
Description
Plusieurs logiciels vulnérables inclus dans VMware ESX Console OS ont été mis à jour par l'éditeur :
- Samba est mis à jour pour corriger une vulnérabilité permettant à un utilisateur malveillant distant de provoquer un déni de service et potentiellement de l'exécution de code arbitraire (CVE-2010-3069) ;
- bzip2 est mis à jour pour corriger une vulnérabilité permettant à un attaquant d'exécuter du code arbitraire à l'aide d'un fichier spécialement conçu (CVE-2010-0405) ;
- OpenSSL est mis à jour pour corriger plusieurs vulnérabilités permettant de contourner la politique de sécurité (CVE-2009-0590, CVE-2009-2409 et CVE-2009-355).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité VMware VMSA-2010-0019 du 07 décembre 2010 :
http://www.vmware.com/security/advisories/VMSA-2010-0019.html
- Référence CVE CVE-2010-3069 :
https://www.cve.org/CVERecord?id=CVE-2010-3069
- Référence CVE CVE-2010-0405 :
https://www.cve.org/CVERecord?id=CVE-2010-0405
- Référence CVE CVE-2009-0590 :
https://www.cve.org/CVERecord?id=CVE-2009-0590
- Référence CVE CVE-2009-2409 :
https://www.cve.org/CVERecord?id=CVE-2009-2409
- Référence CVE CVE-2009-3555 :
https://www.cve.org/CVERecord?id=CVE-2009-3555