Avis de sécurité au sujet de VMware

Numéro : AV09-006
Date : 3 février 2009

Objet

Cet avis a pour objet d'attirer votre attention sur le fait que VMware a diffusé des correctifs ESX à jour qui règlent le problème du chargement de disques virtuels corrompus et qui mettent à jour les trousses Service Console.

Évaluation

VMware a réglé le problème de panne de l'ESX qui survenait lorsqu'un disque delta VMDK servant à créer une copie instantanée était corrompu. En effet, l'hôte ESX pouvait tomber en panne si un administrateur y chargeait un disque corrompu.

Produits touchés :

VMware Produit Version du produit Tournant sous Remplacer par/ Appliquer le correctif
VirtualCenter toutes Windows non touché
VMware Workstation toutes toutes non touché
VMware Player toutes toutes non touché
VMware ACE toutes toutes non touché
VMware Server toutes toutes non touché
VMware Fusion toutes toutes non touché
ESXi 3.5 ESXi  ESXe350-200901401-I-SG
ESX 3.5 ESX ESX350-200901401-SG
ESX 3.0.3 ESX non touché
ESX 3.0.2 ESX non touché
ESX 2.5.5 ESX non touché

Une faille provoquant un déni de service a été décelée dans la façon dont Net-SNMP traite les requêtes SNMP GETBULK. L'attaquant à distance qui diffuserait une requête spécialement conçue à cette fin pourrait provoquer la panne du serveur snmpd.

Produits touchés :

VMware Produit Version du produit Tournant sous Remplacer par/ Appliquer le correctif
VirtualCenter toutes Windows non touché
VMware Workstation toutes toutes non touché
VMware Player toutes toutes non touché
VMware ACE toutes toutes non touché
VMware Server toutes toutes non touché
VMware Fusion toutes toutes non touché
ESXi 3.5 ESXi  non touché
ESX 3.5 ESX ESX350-200901409-SG
ESX 3.0.3 ESX ESX303-200901405-SG
ESX 3.0.2 ESX ESX-1007673
ESX 2.5.5 ESX non touché

On a décelé une faille de dépassement de nombre entier dans l'analyseur syntaxique de XML libxml2. Cette faille provoque un dépassement de mémoire tampon dans la pile. Du contenu XML mal codé et non vérifié qui aurait été traité par libxml2 et qui serait lié à une application pourrait entraîner l'arrêt de l'application ou lui faire exécuter du code arbitraire.

Produits touchés : 

VMware Produit Version du produit Tournant sous Remplacer par/ Appliquer le correctif
VirtualCenter toutes Windows non touché
VMware Workstation toutes toutes non touché
VMware Player toutes toutes non touché
VMware ACE toutes toutes non touché
VMware Server toutes toutes non touché
VMware Fusion toutes toutes non touché
ESXi 3.5 ESXi  non touché
ESX 3.5 ESX ESX350-200901410-SG
ESX 3.0.3 ESX ESX303-200901406-SG
ESX 3.0.2 ESX ESX-1007674
ESX 2.5.5 ESX non touché

Mesure suggérée

Le CCRIC conseille aux administrateurs de tester et d'installer les mises à jour des produits touchés à la première occasion.

Références :

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :