Mittwoch, 25. November 2009

UPDATE: Schwachstelle in VMware Virtual Center vor Version 2.5 Update 4 - VMSA-2009-0002.2

Folgende Information möchten wir an dieser Stelle weitergeben:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgende Warnung des VMware-Teams. Wir geben
diese Informationen unveraendert an Sie weiter.

Bitte beachten Sie, dass dies ein Update des Advisories ist, das die
folgenden Aenderungen betrifft:

Mit diesem Update verweist VMware fuer Updates von vCenter 4.0 und ESX
4.0 auf das Advisory VMSA-2009-0016.


CVE-2008-2370 - Cross-site Scripting Schwachstelle in Tomcat ermoeglicht
Zugriff auf Vertrauliche Daten

Wird Tomcat fuer die Verwendung eines RequestDispatchers konfiguriert,
werden eingehende Anfragen vor der Weiterverarbeitung auf ein
einheitliches Format normiert. Ein Angreifer kann eine Schwachstelle
im Normierungsvorgang ausnutzen um Anfragen zu manipulieren und
Zugriff auf vertrauliche Daten zu erhalten.

CVE-2008-1232 - Cross-Site Scripting Schwachstelle im Apache Tomcat

Tomcat beinhaltet eine Cross Site Scripting Schwachstelle bei der
Fehlerbehandlung. Ein der Funktion 'HttpServletResponse.sendError()'
uebergebenes Argument wird nicht nur im Error-Log angezeigt sondern
auch im HTTP-Response Header auf die fehlerhafte Anfrage verwendet.
Ein Angreifer kann diese Schwachstelle ausnutzen um HTTP-Header zu
manipulieren und so Cross-Site Scripting Angriffe durchfuehren.

CVE-2008-1947 - Cross-Site Scripting Schwachstellen im Apache Tomcat

Die Host Manager Anwendung in Apache Tomcat filtert die uebergebenen
Parameter 'name' in den Skript 'host-manager/html/add' ungenuegend auf
enthaltenen Skript- oder HTML-Code und kann so fuer Cross-site
Scripting Angriffe missbraucht werden. Entfernte Angreifer, die sich
in der Anwendung authentifiziert haben, koennen dadurch Scriptcode im
Browser anderer Benutzer ausfuehren.

Betroffen sind die folgenden Software Pakete und Plattformen:

Virtual-Center 2.5 fuer Windows ohne Update 4
Virtual-Center 2.0.2 fuer Windows
VMWare Server 2.x
VMWare ESX 3.5 ohne Patch ESX350-200910403-SG
VMWare ESX 3.0.3
VMWare ESX 3.0.2

Alle Plattformen fuer die das VMware Virtual Center verfuegbar ist.

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
http://www.vmware.com/security/advisories/VMSA-2009-0002.1
http://www.vmware.com/security/advisories/VMSA-2009-0002.2


(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Torsten Voss

- --

Dipl.-Ing.(FH) Torsten Voss (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

- -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

- - ------------------------------------------------------------------------
VMware Security Advisory

Advisory ID: VMSA-2009-0002.2
Synopsis: VirtualCenter Update 4 and ESX patch update Tomcat
to version 5.5.27
Issue date: 2009-02-23
Updated on: 2009-11-20
CVE numbers: CVE-2008-1232 CVE-2008-1947 CVE-2008-2370
- - ------------------------------------------------------------------------

1. Summary

Updated VMware VirtualCenter Update 4 and ESX patch update Tomcat
packages.

2. Relevant releases

VirtualCenter 2.5 before Update 4
ESX 3.5 without patch ESX350-200910403-SG

3. Problem Description

a. Update for VirtualCenter and ESX patch update Apache Tomcat version
to 5.5.27

Update for VirtualCenter and ESX patch update the Tomcat package to
version 5.5.27 which addresses multiple security issues that existed
in the previous version of Apache Tomcat.

The Common Vulnerabilities and Exposures project (cve.mitre.org)
has assigned the names CVE-2008-1232, CVE-2008-1947 and
CVE-2008-2370 to these issues.

The following table lists what action remediates the vulnerability
(column 4) if a solution is available.

VMware Product Running Replace with/
Product Version on Apply Patch
======== ======== ======= =======================
vCenter 4.0 Windows see VMSA-2009-0016
VirtualCenter 2.5 Windows VirtualCenter 2.5 Update 4
VirtualCenter 2.0.2 Windows affected, patch pending

Workstation any any not affected

Player any any not affected

ACE any Windows not affected

Server 2.x any affected, patch pending
Server 1.x any not affected

Fusion any Mac OS/X not affected

ESXi any ESXi not affected

ESX 4.0 ESX see VMSA-2009-0016
ESX 3.5 ESX ESX350-200910403-SG
ESX 3.0.3 ESX affected, patch pending
ESX 3.0.2 ESX affected, end of life
ESX 2.5.5 ESX not affected

** Tomcat will be updated to version 6.0.20 in the next update release

Note: These vulnerabilities can be exploited remotely only if the
attacker has access to the Service Console network.

Security best practices provided by VMware recommend that the
Service Console be isolated from the VM network. Please see
http://www.vmware.com/resources/techresources/726 for more
information on VMware security best practices.

The currently installed version of Tomcat depends on your patch
deployment history.

4. Solution

Please review the patch/release notes for your product and version
and verify the md5sum of your downloaded file.

VirtualCenter
-------------
VMware VirtualCenter 2.5 Update 4
http://www.vmware.com/download/download.do?downloadGroup=VC250U4
DVD iso image
md5sum: 4304334ed7662b6a43646e6dde0956d2
Zip file
md5sum: 1306cb9b25e28a06bab84257d7cbf38f
Release Notes
http://www.vmware.com/support/vi3/doc/vi3_vc25u4_rel_notes.html

ESX 3.5
-------
ESX350-200910403-SG
http://download3.vmware.com/software/vi/ESX350-200910403-SG.zip
md5sum: 0e90be5bd6aa986dc2356563e809a54f
sha1sum: a5968cf6db78e28d79a4fd0b4df172cadf0f7129
http://kb.vmware.com/kb/1013126

5. References

Tomcat release notes
http://tomcat.apache.org/security-5.html

CVE numbers
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1232
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1947
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2370

- - ------------------------------------------------------------------------
6. Change log

2009-02-23 VMSA-2009-0002
Initial security advisory after release of VirtualCenter 2.5 Update 4
on 2009-02-23.
2009-10-16 VMSA-2009-0002.1
Updated after release of ESX 3.5 patch 18 on 2009-10-16.
2009-11-20 VMSA-2009-0002.2
Updated after release of vCenter and ESX Update 1 on 2009-11-19.

- - -----------------------------------------------------------------------
7. Contact

E-mail list for product security notifications and announcements:
http://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce

This Security Advisory is posted to the following lists:

* security-announce at lists.vmware.com
* bugtraq at securityfocus.com
* full-disclosure at lists.grok.org.uk

E-mail: security at vmware.com
PGP key at: http://kb.vmware.com/kb/1055

VMware Security Center
http://www.vmware.com/security

VMware security response policy
http://www.vmware.com/support/policies/security_response.html

General support life cycle policy
http://www.vmware.com/support/policies/eos.html

VMware Infrastructure support life cycle policy
http://www.vmware.com/support/policies/eos_vi.html

Copyright 2009 VMware Inc. All rights reserved.

- -----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAksHBIIACgkQS2KysvBH1xnEAgCeLC12nVbvwYPj1Wabqaeq1DM/
36AAnRm96ANHl2FF/8FJiP9oxiuZrqnv
=owAk
- -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFLCrVAk0kIxZMiiQ8RAiAWAKCSRR3hzH1v5SnFqDi1hCMW8fbs1ACgs5Xx
N4QDXHoa/dFskF4y7tvcw4A=
=NX2Q
-----END PGP SIGNATURE-----

Keine Kommentare:

Kommentar veröffentlichen