Sécurité informatique

SECURINFOS.INFO - Veille en sécurité informatique

VMware VirtualCenter Divulgation de Compte Utilisateur

13/08/2008 11H20
Référence Secunia : SA31468 
Date de publication : 2008-08-13

Risque : Non Critique. Niveau 1 sur 5.
Impact : Exposition d'informations systèmes
Lieu : Depuis le réseau local


Solutions :
Correctif de l'éditeur


Produit :
VMware VirtualCenter 2.x

Référence CVE :
CVE-2008-3514


Description :
Une faille de sécurité a été rapportée dans VMware VirtualCenter, qui pourrait être exploitée par des utilisateurs malicieux afin de divulguer certaines informations sur le système.

Le problème de sécurité est causé du fait que le service VirtualCenter backend ne vérifie pas correctement les permissions en effectuant certaines actions. Cela pourrait être exploité pour par ex. divulguer des noms d'utilisateurs de system les comptes.

Le problème de sécurité est rapporté en version 2.0.2 précédente à la mise à jour 5 et 2.5 précédente à la mise à jour 2. Les autres versions pourraient également être affectées.


Solutions :
Mettre à jour pour une version corrigée.

VMware VirtualCenter 2.5:
Mettre à jour pour VirtualCenter 2.5 Mettre à jour 2.
http://www.vmware.com/download/download.do?downloadGroup=VC250U2

VMware VirtualCenter 2.0.2:
Mettre à jour pour VirtualCenter 2.0.2 Mettre à jour 5
http://www.vmware.com/downloads/download.do?downloadGroup=VC202U5


Vulnérabilité découverte par :

Brett Moore de Insomnia Security

Référence :
VMware VMSA-2008-0012:
http://www.vmware.com/security/advisories/VMSA-2008-0012.html

Insomnia Security:
http://www.insomniasec.com/advisories/ISVA-080812.1.htm




Veuillez noter : L'information sur laquelle est basée ce bulletin Secunia provient d'un tiers sauf mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.