发布日期：2008-08-29
更新日期：2008-09-01

受影响系统：

VMWare Workstation 6.x
VMWare Workstation 5.x
VMWare ACE 2.x
VMWare ACE 1.x
VMWare Player 2.x
VMWare Player 1.x
VMWare Server 1.x
VMWare ESX 3.0.3
VMWare ESX 3.0.2
VMWare ESX 3.0.1

不受影响系统：

VMWare Workstation 6.0.5
VMWare Workstation 5.5.8
VMWare ACE 2.0.5
VMWare ACE 1.0.7
VMWare Player 2.0.5
VMWare Player 1.0.8
VMWare Server 1.0.7

描述：

---

BUGTRAQ  ID: 30934,30935,30936,30937
CVE(CAN) ID: CVE-2008-2101,CVE-2007-5269,CVE-2008-1447,CVE-2008-3691,CVE-2008-3692,CVE-2008-3693,CVE-2008-3694,CVE-2008-3695,CVE-2007-5438,CVE-2008-3696,CVE-2008-3697,CVE-2008-3698,CVE-2008-1806,CVE-2008-1807,CVE-2008-1808,CVE-2007-5503

VMWare是一款虚拟PC软件，允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。

VMWare的VMSA-2008-0014更新修复了多个安全漏洞，本地或远程攻击者可以利用这些漏洞绕过某些安全限制、获得权限提升或导致拒绝服务。

VMware所提供的一些ActiveX在IE下运行时存在多个安全漏洞，如果用户受骗浏览了恶意网站或在IE中打开了恶意文件的话，利用这些漏洞可能导致拒绝服务或执行任意代码。

VMware在服务器产品中使用ISAPI扩展，其中的一个扩展受远程拒绝服务的影响。如果发送了畸形请求的话，IIS就可能崩溃。IIS 6.0可以自动重启，但如果将启动类型设置为手动的话，IIS 5.0不会自动重启。

主机系统中的安全漏洞允许用户以提升的权限执行任意代码。

VMware Consolidated Backup命令行工具通过-p选项接受用户口令。在运行上述命令时，登录到服务控制台的用户可以访问VCB命令行工具所使用的用户名和口令。

<*来源：Sun Bing
        Julien Bachmann
  
  链接：http://marc.info/?l=bugtraq&m=122011465815314&w=2
*>

建议：

---

厂商补丁：

VMWare
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.vmware.com/download/ws/
http://www.vmware.com/download/player/
http://www.vmware.com/download/ace/
http://www.vmware.com/download/server/