VMware schließt Lücke in Container-Runtime runc

  • TIPP

  • mad.de
  • 1174 Aufrufe 1 Antwort

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • VMware schließt Lücke in Container-Runtime runc

    Es gibt wichtige Sicherheitsupdates für verschiedene Produkte vom VMware.

    Der Software-Hersteller VMware sichert sein Portfolio gegen mögliche Angriffe auf Docker-Container ab. Die Sicherheitslücke (CVE-2019-5736) könnte Angreifern dazu verhelfen, aus privilegierten Containern auszubrechen und Root-Rechte zu erlangen.

    Die Schwachstelle ist seit vergangener Woche bekannt. Folgende Software von VMware ist davon betroffen:
    • Integrated OpenStack with Kubernetes (VIO-K)
    • PKS
    • vCloud Director Container Service Extension (CSE)
    • vSphere Integrated Containers (VIC)
    In einer Sicherheitswarnung listet VMware die abgesicherten Versionen auf. Die Patches für VIC und VIO-K stehen noch aus. Angreifer könnten aus einem laufenden Container heraus das runc-Binary überschreiben und unter Umständen Schadcode ausführen. Das klappt aber nur, wenn sie die Berechtigung zum Arbeiten mit Containern haben oder docker exec ausführen können, erläutert VMware aus.

    Quelle: VMware schließt Lücke in Container-Runtime runc | heise online

  • Sicherheitsupdates für VMware: Virtueller USB-Controller hackbar

    Der Anbieter von Virtualisierungssoftware VMware schließt kritische Sicherheitslücken in einigen Produkte.

    Es gibt wichtige Sicherheitsupdates für VMware ESXi, Fusion, vCloud Director und Workstation. Der Softwarehersteller hat mehrere als "kritisch" geltende Schwachstellen geschlossen. Wer die Virtualisierungslösungen nutzt, sollte zügig die aktualisierten Versionen installieren. Andernfalls könnten Angreifer unter Umständen aus virtuellen Maschinen ausbrechen und Schadcode im Host-System ausführen.

    Hat ein Angreifer Zugriff auf eine VM mit virtuellem USB-Controller, könnte er über einen Speicherfehler (out-of-bounds) auslösen und so den Ausbruch aus einer VM einleiten. Die Lücke haben Sicherheitsforscher während des Hackerwettbewerbs Pwn2Own entdeckt.

    Die abgesicherten Versionen von ESXi, Fusion und Workstation listet VMware in einer Sicherheitswarnung auf. Von den Schwachstellen (CVE-2019-5514, CVE-2019-5515, CVE-2019-5518, CVE-2019-5519, CVE-2019-5524) sind alle Betriebssysteme betroffen.

    Noch eine Schwachstelle
    Aufgrund einer Lücke (CVE-2019-5523) in vCloud Director sollen Angreifer Sessions aus der Ferne übernehmen können, warnt VMware in einem Beitrag. Davon ist aber nur der Versionsstrang 9.5.x betroffen. Die Ausgabe 9.5.0.3 schafft Abhilfe.

    Quelle: Sicherheitsupdates für VMware: Virtueller USB-Controller hackbar | heise online