Salto de restricciones en VMWare ESX/ESXi

VMWare ha publicado el boletín de seguridad VMSA-2013-0016 donde
soluciona una vulnerabilidad en los productos VMWare ESX y ESXi que
podría permitir el salto de restricciones y potencialmente la ejecución
de código arbitrario.

VMware es un software que permite ejecutar diferentes sistemas
operativos en un mismo PC de forma virtual. Entre otras aplicaciones,
VMware es muy utilizado en seguridad informática por la versatilidad que
ofrece. VMWare ESX permite asignar recursos de procesador, memoria,
almacenamiento de información y redes en múltiples máquinas virtuales.

El error, identificado con CVE-2013-5973 se debe al manejo incorrecto de
archivos de descripción de máquinas virtuales. Un usuario sin
privilegios de vCenter Server podría obtener acceso de lectura y
escritura a archivos arbitrarios del sistema, según que archivos
modifique podría incluso lograr ejecutar código después de un reinicio
del equipo.

Solo los usuarios de vCenter Server con el privilegio “Add Existing
Disk” podrían aprovechar este fallo, decir que usuarios o grupos que
tengan el rol “Virtual Machine Power User” o “Resource Pool
Administrator” tienen este privilegio.

En https://www.vmware.com/patchmgr/download.portal se encuentran
disponibles los parches para su descarga.
__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.