VMWare Workstation 6.x不受影响系统:
VMWare Workstation 5.x
VMWare ACE 2.x
VMWare ACE 1.x
VMWare Player 2.x
VMWare Player 1.x
VMWare Server 1.x
VMWare ESX 3.0.3
VMWare ESX 3.0.2
VMWare ESX 3.0.1
VMWare Workstation 6.0.5描述:
VMWare Workstation 5.5.8
VMWare ACE 2.0.5
VMWare ACE 1.0.7
VMWare Player 2.0.5
VMWare Player 1.0.8
VMWare Server 1.0.7
BUGTRAQ ID: 30934,30935,30936,30937
CVE(CAN) ID: CVE-2008-2101,CVE-2007-5269,CVE-2008-1447,CVE-2008-3691,CVE-2008-3692,CVE-2008-3693,CVE-2008-3694,CVE-2008-3695,CVE-2007-5438,CVE-2008-3696,CVE-2008-3697,CVE-2008-3698,CVE-2008-1806,CVE-2008-1807,CVE-2008-1808,CVE-2007-5503
VMWare是一款虚拟PC软件,允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。
VMWare的VMSA-2008-0014更新修复了多个安全漏洞,本地或远程攻击者可以利用这些漏洞绕过某些安全限制、获得权限提升或导致拒绝服务。
VMware所提供的一些ActiveX在IE下运行时存在多个安全漏洞,如果用户受骗浏览了恶意网站或在IE中打开了恶意文件的话,利用这些漏洞可能导致拒绝服务或执行任意代码。
VMware在服务器产品中使用ISAPI扩展,其中的一个扩展受远程拒绝服务的影响。如果发送了畸形请求的话,IIS就可能崩溃。IIS 6.0可以自动重启,但如果将启动类型设置为手动的话,IIS 5.0不会自动重启。
主机系统中的安全漏洞允许用户以提升的权限执行任意代码。
VMware Consolidated Backup命令行工具通过-p选项接受用户口令。在运行上述命令时,登录到服务控制台的用户可以访问VCB命令行工具所使用的用户名和口令。
<*来源:Sun Bing
Julien Bachmann
链接:http://marc.info/?l=bugtraq&m=122011465815314&w=2
*>
建议:
厂商补丁:
VMWare
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.vmware.com/download/ws/
http://www.vmware.com/download/player/
http://www.vmware.com/download/ace/
http://www.vmware.com/download/server/