The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в VMware Workstation и VMware Player для Debian GNU/Linux

24.08.2013 11:01

В системах VMware Workstation и VMware Player, развёрнутых под управлением Debian GNU/Linux, найдена опасная уязвимость (CVE-2013-1662), позволяющая непривилегированному пользователю хост-системы получить root-доступ через манипуляции с утилитой vmware-mount (проблема не даёт возможность выйти за пределы гостевого окружения, только повышение привилегий). Уязвимость уже устранена в свежих обновлениях VMware Workstation 9.x/8.x и VMware Player 5.x/4.x. В качестве обходного пути решения предлагается убрать suid-бит с исполняемого файла vmware-mount.

Интересно, что изначальной причиной существования уязвимости является наложенный разработчиками Debian патч на интерпретатор bash, отключающий сброс привилегий при работе в режиме эмуляции sh.

  1. Главная ссылка к новости (http://www.vmware.com/security...)
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: vmware, debian
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (24) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, V.Len (ok), 11:36, 24/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    все пользуются VB
     
     
  • 2.2, Аноним (-), 11:43, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    не все, ибо DX7
     
  • 2.3, Аноним (-), 12:36, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Не все. Многие используют kvm
     
     
  • 3.4, midori (ok), 13:46, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    поверьте, таких гиков, как вы - не очень много, я вот не буду пользоваться kvm на своем домашнем пк, да и вы бы не стали - выбор вызван лишь тем, чтобы разобраться в работе, конфигурировании и управлении.
     
     
  • 4.5, anonymous (??), 14:39, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >не очень много

    Неправда. Нас хватает.

     
     
  • 5.7, Аноним (-), 16:03, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>не очень много
    > Неправда. Нас хватает.

    Ты и твой сосед Вася? Толпень, ничего не скажешь. Беру назад свои слова.

     
     
  • 6.14, Аноним (-), 20:20, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Меня еще запишите, хоть я и не его сосед. Зато KVM сразу есть в системе, не требует левых модулей, отпадающих на каждый пук, и проброс usb там не зажлобили, как некоторые.
     
     
  • 7.21, анонимус (??), 09:28, 25/08/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >проброс usb там не зажлобили

    разжопили уже

     
  • 4.8, Аноним (-), 16:04, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    там гуй не хуже чем у коробки. Если бы делал для дома "безэкранные" виртуалки для запуска в фоне, то выбрал бы квм. (хотя, коробка тоже умеет)
    >>suid-бит

    facepalm

     
     
  • 5.9, pavlinux (ok), 16:07, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > там гуй не хуже чем у коробки. Если бы делал для дома
    > "безэкранные" виртуалки для запуска в фоне, то выбрал бы квм. (хотя,
    > коробка тоже умеет)

    Вящик - ушлёпская поделка и для автоматизации полное говно. KVM рулит! Кто-то на Xen дрочит.
    Домой можно Вящик, игрухи старые пускать. Для корпоратива только VMware/vSphere.
    (если откаты выпросишь - Parallels).

     
     
  • 6.12, Аноним (-), 16:29, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Что мешает использовать в корпоративе KVM/Xen (например, через libvirt)?
     
     
  • 7.15, Аноним (-), 20:21, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Что мешает использовать в корпоративе KVM/Xen (например, через libvirt)?

    А ничего не мешает, кроме собственной репоголовости. К тому же qemu умеет и через KVM акселерироваться и через xen.

     
  • 7.17, pavlinux (ok), 00:15, 25/08/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    libvirt - опенсоурсная поделка.

    VMware работает в огромных комплексах, облаках, прозрачное хранение,
    зеркалирование облаков, взаимодействие с продуктами EMC Symmetrix/Clariion,
    и их ПО ...  

    К примеру, вызов и восстановление работы SAAS в виртуалке, которое валялось в бэкапе
    из-за того что не использовалась пару недель, занимает около 5 сек.

    В общем это другой мир!      

     
     
  • 8.19, rshadow (ok), 02:34, 25/08/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Согласен Вся эта функциональность есть в других системах, но нормального гуя чт... текст свёрнут, показать
     
     
  • 9.24, pavlinux (ok), 19:22, 25/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Есть курсы EMC, да дорогие, но стоят того Более того, закупая железо EMC, у ни... текст свёрнут, показать
     
  • 2.11, Аноним (-), 16:28, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > все пользуются VB

    Никто не гарантирует отсутствия аналогичной "уязвимости" в утилитах VB, или любых других suid-программах. Потому что корень проблемы - в дырявом дебиановском bash.

     

  • 1.6, pavlinux (ok), 15:33, 24/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Супер-мега-патч! :)

    # chmod u-s 'which  vmware-mount';

    ---
    Кстати, почему в Debian, в других дистрах такая же хрень?!

     
     
  • 2.10, Аноним (-), 16:25, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Кстати, почему в Debian, в других дистрах такая же хрень?!

    В дебиане на bash наложен специальный патч (http://patch-tracker.debian.org/patch/series/view/bash/4.2+dfsg-0.1/privmode.), отключающий сброс привилегий в режиме эмуляции sh.
    То есть, повторяется история с OpenSSL. Всем горячий привет от профессиональных "разработчиков" Debian.

     
     
  • 3.16, Аноним (-), 21:55, 24/08/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    С OpenSSL была другая ситуация, тот патч одобрили авторы OpenSSL. Одобрили ли этот патч авторы bash пока неизвестно :)
     
  • 3.18, pavlinux (ok), 00:22, 25/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Кстати, почему в Debian, в других дистрах такая же хрень?!
    > В дебиане на bash наложен специальный патч (http://patch-tracker.debian.org/patch/series/view/bash/4.2+dfsg-0.1/privmode.),
    > отключающий сброс привилегий в режиме эмуляции sh.
    > То есть, повторяется история с OpenSSL. Всем горячий привет от профессиональных "разработчиков"
    > Debian.

    В Debian есть
    Securing Debian Manual  http://www.debian.org/doc/manuals/securing-debian-howto/
    CIS Security Benchmark  https://benchmarks.cisecurity.org/downloads/multiform/index.cfm
    Guide to the Secure Configuration of RHEL (те же яйца, только RedHat) http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/opera

    По этим мануалам нужно пройтись, проверить и настроить сразу после установки системы!
    Дальше отслеживать все критические узлы, после каждого апдейта.
    ВСЕ suid/sgid программы в системе админ должен знать наизусть!!!

    ---
    ЕСЛИ ВЫ ЭТОГО НЕ ДЕЛАЕТЕ - ТО ВАМ ПЛЕВАТЬ НА БЕЗОПАСНОСТЬ.

    За Вас никто думать не будет, тут вам не windows!
    ---


    [сообщение отредактировано модератором]

     
     
  • 4.20, rshadow (ok), 02:37, 25/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Каждое сообщение о дыре нужно воспринимать ...

    Если так будут делать то рынок сисадминов наводнится профессионалами. Но пока что это не наблюдается...

     
     
  • 5.22, Аноним (-), 10:41, 25/08/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и это радует
     

  • 1.25, Аноним (-), 12:31, 26/08/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сами качайте бесплатно/покупайте этот тормозной, гнилой и проприетарный крэп. У нас-же, на работе, на серваках - квм, у разрабов - вбокс, у меня дома - квм  и очень редко вбокс
     
     
  • 2.27, pavlinux (ok), 21:24, 27/08/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Сами качайте бесплатно/покупайте этот тормозной, гнилой и проприетарный крэп.
    > У нас-же, на работе, на серваках - квм, у разрабов - вбокс, у меня дома - квм  
    > и очень редко вбокс

    Опа, говорящее говно!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру