Vigil@nce : VMware, corruption de mémoire
décembre 2008 par Vigil@nce
Un attaquant situé dans un système invité peut mener un déni de
service ou exécuter du code sur le système hôte.
– Gravité : 2/4
– Conséquences : accès/droits administrateur
– Provenance : shell utilisateur
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 03/12/2008
PRODUITS CONCERNÉS
– VMware ACE
– VMware ESX Server
– VMware ESX Server 3i
– VMware Player
– VMware Server
DESCRIPTION
Un système invité s’exécute sur un matériel virtuel indépendant du
matériel physique.
Un attaquant local peut forcer le matériel virtuel à écrire à une
adresse de la mémoire physique. Les détails techniques ne sont pas
connus.
Un attaquant situé dans un système invité peut donc mener un déni
de service ou exécuter du code sur le système hôte.
CARACTÉRISTIQUES
– Références : BID-32597, CVE-2008-4917, VIGILANCE-VUL-8284,
VMSA-2008-0019
– Url : http://vigilance.fr/vulnerabilite/8284