2014-1595: VMware: Mehrere Sicherheitslücken erlauben u.a. die Übernahme von Benutzerrechten

Historie:

Version 1 (2014-12-05 17:57): Neues Advisory

Betroffene Software

Netzwerk
Virtualisierung

Betroffene Plattformen

VMware
Virtualisierung
Hypervisor

Beschreibung:

VMware schließt mehrere Schwachstellen, die einem zumeist entfernten, nicht authentifizierten Angreifer das Darstellen von falschen Informationen, das Umgehen von Sicherheitsvorkehrungen und das Ausführen von Denial-of-Service-Angriffen ermöglichen, sowie die Übernahme von Benutzerberechtigungen.

Hinweis: VMware nimmt ein Update der genutzten Oracle JRE 1.6.0 Version für den vCenter Server und vCenter Update Manager vor. Dem Hersteller-Advisory zufolge, werden die in dem 'Oracle Java SE Critical Patch Update Advisory of July 2014' genannten Schwachstellen über ein Update auf die Version JRE 1.6.0 Update 81 behoben. Bei dem referenzierte July 2014 Patch handelt es sich jedoch um das JRE 1.6.0 Update 75. Jene Schwachstellen sind hier referenziert. Das JRE 1.6.0 Update 81 wurde mit dem Oktober 2014 Patch zur Verfügung gestellt (Referenz anbei).

Schwachstellen:

CVE-2013-1752

Schwachstelle in Python ermöglicht Denial-of-Service-Angriff

CVE-2013-2877

Fehlerhafte Speicherzuordnung in LibXML2

CVE-2013-4238

Schwachstelle in Python ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2014-0015

Schwachstelle in cURL und libcurl ermöglicht Identitätsdiebstahl

CVE-2014-0138

Schwachstelle in cURL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2014-0191

XXE-Schwachstelle in libxml2