Schwachstelle in VMware-Produkten

Der Fehler liegt in der Datei /usr/bin/vmwre-config.pl. Das Perl-Script nutzt statt der safe_chmod()-Subroutine das Perl-native chmod(). Letzteres liefert beim Setzen der SSL-Key-Datei-Berechtigungen keinen Return-Code und somit auch keine vielleicht auftretenden Fehler zurück. Das könnte zu einer unsicheren Lese-Berechtigung auf diese Dateien führen. Damit lassen sich eventuell sensitive Informationen abrufen.

VMware schlägt vor, manuell die Berechtigungen für die Dateien zu setzen. Die Befehle:

chmod 400 /etc/vmware/ssl/rui.key und

chmod 444 /etc/vmware/ssl/rui.crt

sollten das erledigen. Betroffen sind folgende Produkte: VMware ESX Server 2.0.x/2.1.x/2.5/3.0.x, VMware Player 1.0.x (Linux Hosts), VMware Server 1.0.x (Linux Hosts), VMware GSX Server 3.x (Linux Hosts) und VMware Workstation 5.5.x (Linux Hosts). (jdo)

Sie interessieren sich für Linux? Dann abonnieren Sie doch den kostenlosen Linux-Newsletter von tecCHANNEL. Er wird in der Regel ein Mal pro Woche am Freitag verschickt und enthält nur die für Linux-Anwender relevanten News und Beiträge von tecChannel.de. So sparen Sie Zeit und sind trotzdem voll informiert. Hier geht es zur Anmeldeseite.