Sicherheitsupdates für VMware ESX Server
Der Hersteller hat Updates für den VMware ESX Server herausgegeben, die neben Fehlern in Open-Source-Komponenten auch Probleme mit unsicheren SSL-Schlüsseln und virtuellen Laufwerken beheben.
Der Hersteller VMware hat Updates für den VMware-ESX-Server [1] herausgegeben, die neben Fehlern in Open-Source-Komponenten auch Probleme mit unsicheren SSL-Schlüsseln und virtuellen Laufwerken beheben. Der ESX-Server soll laut VMware auf Servern mehrere virtuelle Maschinen bereitstellen, um vorhandene Ressourcen besser auszunutzen.
Die Updates beheben schon länger bekannte Sicherheitslücken in OpenSSL [2], OpenSSH [3] und in Python [4]. Allerdings hat auch die VMware-Software selbst Probleme: Neu angelegte virtuelle Festplatten, die auf der Festplatte Blöcke bereits gelöschter Laufwerke belegen, könnten in diesen Blöcken liegende Informationen preisgeben. Außerdem setzt das Skript vmware-config die Rechte der Dateien mit den erzeugten SSL-Schlüsseln möglicherweise so, dass Benutzer mit eingeschränkten Rechten dennoch darauf zugreifen können.
VMware hat Patches für die betroffenen ESX-Server 2.0.2 [5], 2.1.3 [6], 2.5.3 [7], 2.5.4 [8], 3.0.0 [9] und 3.0.1 [10] herausgegeben. Da einige der geschlossenen Sicherheitslücken auch das Einschleusen von beliebigem Programmcode gestatten, sollten Administratoren von ESX-Servern die angebotenen Patches zügig einspielen.
Siehe dazu auch:
- VMware ESX server security updates [11], Sicherheitsmeldung von VMware
(dmk [12])
URL dieses Artikels:
https://www.heise.de/-132246
Links in diesem Artikel:
[1] http://www.vmware.com/products/vi/esx/
[2] https://www.heise.de/news/Sicherheitsupdate-fuer-OpenSSL-beseitigt-vier-Luecken-166873.html
[3] https://www.heise.de/news/OpenSSH-Update-buegelt-Schwachstellen-aus-166904.html
[4] https://www.heise.de/news/Bug-in-Python-laesst-beliebigen-Code-ausfuehren-169238.html
[5] http://www.vmware.com/support/esx2/doc/esx-202-200612-patch.html
[6] http://www.vmware.com/support/esx21/doc/esx-213-200612-patch.html
[7] http://www.vmware.com/support/esx25/doc/esx-253-200612-patch.html
[8] http://www.vmware.com/support/esx25/doc/esx-254-200612-patch.html
[9] http://www.vmware.com/support/vi3/doc/esx-3069097-patch.html
[10] http://www.vmware.com/support/vi3/doc/esx-9986131-patch.html
[11] http://archives.neohapsis.com/archives/fulldisclosure/2007-01/0170.html
[12] mailto:dmk@heise.de
Copyright © 2007 Heise Medien