116958

Buffer Overflow: Sicherheitslücke in VMware

22.12.2005 | 13:41 Uhr |

VMware hat eine Sicherheitslücke in der brandneuen VMware Workstation 5.5, VMware GSX Server 3.2, VMware ACE 1.0.1 und im VMware Player 1.0 bestätigt. Neue Versionen der betroffenen Softwareversionen stehen zum Download bereit.

In Sicherheitsberichten von Security Focus und Secunia ist ein Fehler in VMware-Produkten offengelegt, der einem Angreifer das Ausführen von beliebigem Code ermöglichen kann. Betroffen sind die Produkte VMware Workstation 5.5, VMware GSX Server 3.2, VMware ACE 1.0.1, VMware Player 1.0. Der Hersteller hat neue Versionen der betroffenen Software als Download bereitgestellt, die den Fehler beheben.

Die schwere Sicherheitslücke betrifft nur eine Netzwerk-Komponente der VMware: Im Modul für NAT (Network Address Translation) steckt eine Schwachstelle, die einen Buffer Overflow auf dem Host-System auslösen könnte. Betroffen ist sowohl die Linux- als auch die Windows-Version des NAT-Moduls.
Network Address Translation ist einer von drei Modi, mit denen virtuelle PCs in einer VMware ins Netzwerk gehen können. NAT ist besonders praktisch, wenn die virtuelle Maschine einfach mit der IP-Adresse des Hauptsystems ins Netzwerk gehen soll. Diese Anfangskonfiguration funktioniert auf den meisten PCs ohne weitere Anpassungen, wenn kein vorhandenes Netzwerk mit Hardware-Router vorhanden ist. Der dafür nötige Router ist in VM-Ware eingebaut - samt DHCP-Server. Es stehen aber noch zwei weitere Modi zur Verfügung: Mit "Bridged" kommen der gesamte Netzwerkverkehr des Gastsystems mit einer eigenen IP-Adresse über den physikalischen Netzwerkadapter ins Netz. Der Modus "Host-Only" lässt eine Netzwerkverbindung nur zwischen Host und Gast zu.

Die Schwachstelle tritt laut Secunia zu Tage, wenn das NAT-Modul bestimmte Abfragen über FTP verarbeiten muss. Über manipulierte Natzwerkpakete, die FTP-Anfragen "eprt" und "port" enthalten, lässt sich ein Buffer Overflow provozieren, der dann eingeschleusten Code auf dem Host-System ausführt. Da NAT der VMware unter Windows als Systemprozess läuft und unter Linux als Daemon, kann ein Angreifer das System kompromittieren. Eine Deaktivierung der NAT-Dienste ist zwar möglich, erscheint aber wenig empfehlenswert. Die aktualisierten Software-Versionen liegen auf der Website von VMware bereit .

0 Kommentare zu diesem Artikel
116958