发布日期：2010-12-02
更新日期：2010-12-06

受影响系统：

VMWare Workstation 6.5.2 build 156735 - 6.5.5
VMWare Player 2.5.3 build 185404 - 3.1.2
VMWare ESX Server 3.5 - 4.1
VMWare Fusion 2 - 2.0.7 Build 246742

不受影响系统：

VMWare Workstation 7.1.2 build 301548
VMWare Workstation 6.5.5 build 328052

描述：

---

BUGTRAQ  ID: 45166
CVE(CAN) ID: CVE-2010-4297

VMware是一款虚拟PC软件，允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。

多个VMware主机产品在实现上存在命令注入漏洞，攻击者可利用这些漏洞在Guest操作系统上以root权限执行任意代码，绕过某些安全限制。

这些漏洞源于VMware Workstation、Player及装有vmware的Fusion上的竞争条件、权限提升、VMware Tools更新中的权限提升错误，这些问题不影响基于Windows的虚拟机。

<*来源：Nahuel Grisolia of Bonsai Information Security
  *>

建议：

---

厂商补丁：

VMWare
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.vmware.com

浏览次数：2181
严重程度：0（网友投票）