Vmware hat mehrere Sicherheitsupdates für seine Virtualisierungssoftware ESX Server, Server, Workstation, ACE und Player veröffentlicht. Die Patches schließen unter anderem kritische Sicherheitslücken, durch die Angreifer beliebigen Programmcode auf dem Host-System der virtuellen Maschine ausführen konnten.
Die Sicherheitsmeldung listet insgesamt 20 Einträge der Security-Datenbank Common Vulnerabilites and Exposures (CVE) auf. Nahezu das gesamte Produktportfolio von Vmware ist betroffen.
Die Updates beheben auch eine Denial-of-Service-Schwachstelle, die beispielsweise dazu mißbraucht werden konnte, einen Host-Prozess zu stören oder zu beenden. Ein Fehler im integrierten DHCP-Server ermöglichte es Angreifern zudem, sich höhere Systemrechte zu verschaffen. Weitere Lücken erlaubten das Überschreiben von Dateien auf dem Host-System.
Darüber hinaus stellt Vmware einige Softwareflicken für die Service-Konsole von ESX Server bereit, die Sicherheitslöcher in den Programmpaketen Samba, Bind, Krb5, Vixie-Cron, Shadow-Utils, Openldap, Pam, GCC und GDB stopfen. Die genauen Downloadlinks für die Sicherheitsupdates sowie Detailinformationen zu den betroffenen Vmware-Applikationen finden sich in der Sicherheitsmeldung des Herstellers.
