Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 10/12/2019

Importancia: Crítica

Recursos afectados:

• VMware ESXi, versiones:
  • 6.7,
  • 6.5,
  • 6.0.
• VMware Horizon DaaS, rama de versiones 8.x.

Descripción:

El equipo de 360Vulcan, de la competición Tianfu Cup Pwn Contest 2019, ha detectado una vulnerabilidad de severidad crítica que afecta a múltiples productos de VMware. Un atacante remoto podría ejecutar código en el sistema.

Solución:

• VMware ha publicado diversos parches de seguridad para VMware ESXi según la versión afectada:
  • 6.7, aplicar el parche ESXi670-201912001.
  • 6.5, aplicar el parche ESXi650-201912001.
  • 6.0, aplicar el parche ESXi600-201912001.
• Para Horizon DaaS, se han publicado una serie de Hotfix para mitigar la vulnerabilidad hasta que se publique una actualización que solucione la misma.

Detalle:

Una vulnerabilidad de sobreescritura dinámica de memoria (heap) en el servicio OpenSLP podría permitir a un atacante remoto, con acceso al puerto 427, realizar una ejecución de código en el sistema. Se ha asignado el identificador CVE-2019-5544 para esta vulnerabilidad.

Etiquetas: Actualización, VMware, Vulnerabilidad