Die Firma VMware hat auf Ihrer Website Informationen über eine Sicherheitslücke zur Verfügung gestellt. Kurz zusammengefasst: Zum einen besteht derzeit die Möglichkeit bei verschiedenen VMware Produkten beliebig durch die Verzeichnisstruktur des Hosts zu spazieren. Zum anderen kann ein Angreifer erweiterte Rechte auf einer installierten virtuellen Maschine erhalten.

VMware hat aber bereits Patches zum Beheben des Fehlers veröffentlicht.

VMware hat Updates für seine Produkte ESX- und ESXi-Server veröffentlicht. Diese beseitigen vier Schwachstellen in den Versionen ESXi 3.5, ESX 3.5, ESX 3.03 und ESX 3.02.

Zum einen können bislang beschädigte Delta-Disks ein ESX-Hostsystem in Mitleidenschaft ziehen und abstürzen lassen. Zum anderen war eine Bibliothek anfällig für einen sog. Buffer-Overflow.

Ausserdem besteht auf nicht aktualisierten Systemen die Gefahr zweier Denial-Of-Service Angriffe.

Aus diesem Grund ist es dringend empfehlenswert die oben genannten Produkte schnellstmöglich zu aktualisieren.

Gestern stellte die Firma Linogate mit dem Produkt „Defendo VM“ eine neue Sicherheitslösung für Unternehmen vor, die von den Vorteilen profitiert, welche eine virtuelle Umgebung bietet. So kann die neue Virtual Appliance Gebrauch von der Tatsache machen, dass auf einem typischen ESX Server mehr als eine CPU zur Verfügung steht. Vorgesehene Szenarien sind hierbei beispielsweise die Nutzung eines Cores für die Proxy-Funktion und eines anderen Cores für die Mail Funktion. Da Virtual Appliances hardwareunabhängig sind, kann im Falle eines Hardwareausfalls die Funktionalität der Sicherheitslösung schnell wieder hergestellt werden.

So gut wie dies auf den ersten Blick klingt, bleibt doch abzuwarten, inwiefern ein solches Produkt vom Markt akzeptiert wird. Denn auf der Sicherheitskonferenz „Black Hat“, die vom 16. bis 19. Februar stattfindet, will die Sicherheitsexpertin Joanna Rutowska eine Sicherheitslücke in Intels Trusted Execution Technology (TXT) vorstellen. TXT wird zwar derzeit nicht von Vmware genutzt, dennoch stellt sich die Frage: Gibt es Sicherheitslöcher in den Virtualisierungsfunktionen die AMD und Intel in Ihren Prozessoren implementiert haben?

Nicht dass hier ein falscher Eindruck entsteht. Es gibt keine 100% Sicherheit. Aber Fakt ist: Sicherheit ist eine Vertrauenssache. Und wenn das Vertrauen der Kunden einmal erschüttert ist, dann wird so ein Produkt einen schweren Stand haben.