VMware vmware-config.pl不安全SSL密钥文件漏洞

VMware vmware-config.pl不安全SSL密钥文件漏洞 受影响系统： 
VMWare GSX Server 2.x
VMWare Workstation for Linux
VMWare Player for Linux
VMWare Server for Linux
VMWare Infrastructure 3
描述： 
--------------------------------------------------------------------------------
BUGTRAQ  ID: 19060
CVE(CAN) ID: CVE-2006-3589

VMWare是一款虚拟PC软件，允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。

VMWare的vmware-config.pl脚本可将密钥和证书文件的权限设置为安全的值，但这个脚本没有使用可报告失败错误的safe_chmod()子例程，而使用了Perl chmod()函数，且没有执行任何返回代码检查，因此如果chmod()失败的话用户不会得到警告。这可能导致系统中的任意本地用户都可以读取密钥文件，具体取决于所使用的umask。

<*来源：Nick Breese
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=115333880211508&q=p3
        http://secunia.com/advisories/21120/print/
*>

建议： 
--------------------------------------------------------------------------------
临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用以下命令手动更改密钥和证书的权限：

# chmod 400 /etc/vmware/ssl/rui.key
# chmod 444 /etc/vmware/ssl/rui.crt

厂商补丁：

VMWare
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.vmware.com