Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/12/2013
Salt de restriccions en VMWare ESX/ESXi
VMWare ha publicat el butlletí de seguretat VMSA-2013-0016 on soluciona una vulnerabilitat en els productes VMWare ESX i ESXi que podria permetre el salt de restriccions i potencialment l’execució de codi arbitrari.VMware és un programari que permet executar diferents sistemes operatius en un mateix PC de forma virtual. Entre altres aplicacions, VMware és molt utilitzat en seguretat informàtica per la versatilitat que oferix. VMWare ESX permet assignar recursos de processador, memòria, emmagatzematge d’informació i xarxes en múltiples màquines virtuals. L’error, identificat amb CVE 2013-5973-es deu al maneig incorrecte d’arxius de descripció de màquines virtuals. Una persona usuària sense privilegis de vCenter Server podria obtindre accés de lectura i escriptura a arxius arbitraris del sistema, segons quins arxius modifique podria inclús aconseguir executar codi després d’un reinicie de l’equip.
Només els usuaris de vCenter Server amb el privilegi “Add Existing Disk” podrien aprofitar esta fallada, dir que usuaris o grups que tinguen el rol "Virtual Machine Power User" o "Resource Pool Administrator" tenen este privilegi.
Sistemes Afectats:Productes VMWare ESX i ESXi
Referències:CVE-2013-5973
Solució:En https://www.vmware.com/patchmgr/download.portal es troben disponibles els pegats per a la seua descàrrega.
Notes: