VMware alerta de una vulnerabilidad en sus productos para Linux

Iniciado por wolfbcn, 31 Marzo 2011, 21:02 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Publicado el 31 de marzo de 2011 por Helga Yagüe

VMware ha reconocido que varios de sus productos que ejecutan Linux sufren un fallo de seguridad que podría permitir a los atacantes acceder al sistema y realizar cambios sin consentimiento del usuario.

Esta vulnerabilidad (CVE-2011-1126) afecta concretamente a VMware Workstation 7.1.3 y 6.5.5 (y anteriores) y a VIX API para Linux 1.10.2 y anteriores.

La compañía ya ha lanzado un parche de seguridadcon la actualización VMSA-2011-0006 para VmWare Workstation a la espera de solucionar de forma definitiva esta vulnerabilidad.

Según ha informado la compañía, la utilidad vmrun, que se instala por defecto y se utiliza para diversas tareas en las máquinas virtuales, es susceptible de sufrir un problema de escalada de privilegios a consecuencia de que se utilicen de forma incorrecta las bibliotecas de carga de ciertos directorios.

De esta forma, un atacante podría colocar un archivo de ataque en una ruta determinada para conseguir una escalada de privilegios y realizar cambios no autorizados por el usuario.

Mientras siguen investigando el alcance de esta vulnerabilidad y trabajan para proporcionar una solución definitiva, aconsejan a los usuarios de versiones afectadas que instalen el parche de seguridad.

Más información en ITespresso

FUENTE :http://www.theinquirer.es/2011/03/31/vmware-alerta-de-una-vulnerabilidad-en-sus-productos-para-linux.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

c0d3rSh3ll

uuh yo tengo la 7.1.0 para linux, me pongo a ver eso del parche enseguida.

y yo que pensaba que estaba mas seguro para linux.

EvilGoblin

Yo quize instalar vmware, pero cuando me piden todos mis datos y me dicen "te mandamos el link de descarga al mail"...

dije.... na.. mejor virtualbox xDD

igual imagino que el bug debe ser menor, si se podria ejecutar codigo en la maquina real no tendria permisos (o porlomenos no deberia tenerlos)

los host virtuales son muy famosos ultimamente.. y cada vez los Exploit raiders estan mas atras de ellos :P
Experimental Serial Lain [Linux User]