Argitalpen data: 2019/03/29
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
- VMware vCloud Director for Service Providers (vCD), 9.5.x bertsioa;
- VMware vSphere ESXi (ESXi), 6.0, 6.5 eta 6.7 bertsioak edozein plataformatan;
- VMware Workstation Pro / Player (Workstation), 14.x eta 15.x bertsioak edozein plataformatan;
- VMware Fusion Pro / Fusion (Fusion), 10.x eta 11.X bertsioak OSXen.
Azalpena:
VMwarek bere produktu batzuei eragiten
dieten 5 ahultasunen berri eman du.
Konponbidea:
- Zerbitzu hornitzaileentzako VMware vCloud Director (vCD), 9.5.0.3 bertsiora eguneratzea;
- VMware vSphere ESXi (ESXi):
-
- VMware Workstation Pro (Workstation):
- 14.x bertsioen kasuan, 14.1.7ra eguneratzea
- 15.x bertsioen kasuan, 15.0.4ra eguneratzea
- VMware Workstation Player (Workstation):
- 14.x bertsioen kasuan, 14.1.7ra eguneratzea
- 15.x bertsioen kasuan, 15.0.4ra eguneratzea
- VMware Fusion Pro / Fusion (Fusion):
- 10.x bertsioen kasuan, 10.1.6 bertsiora eguneratzea
- 11.x bertsioen kasuan, 11.0.3 bertsiora eguneratzea
Xehetasuna:
- Zerbitzu hornitzaileentzako VMware vCloud Director-ek urruneko saioaren bahiketa erako ahultasun bat dauka Tenant eta Provider
atarietan. Ahultasun hori baliatuz asmo gaiztoko erasotzaile bat atari
horietara sar liteke, une horretan saioa hasi duen erabiltzaile bat dela
irudikatuz. Ahultasun horretarako CVE-2019-5523 identifikatzailea erreserbatu
da.
- USB 1.1 kontrolatzaile birtual bat duen VMware ESXi, Workstation edo Fusion-en makina birtual batera sarbidea duen erasotzaile batek mugaz kanpoko irakurketa/idazketa erako edo Time-of-check
Time-of-use (TOCTOU) erako ahultasun batzuk balia litzake. Horrela host-ean
kodea exekuta lezake. Ahultasun horietarako CVE-2019-5518 eta CVE-2019-5519
identifikatzaileak erreserbatu dira.
- VMware Workstation eta Fusion-ek mugez kanpoko idazketa erako ahultasun bat daukate e1000 sare egokitzaile birtualean. Hori baliatuz erasotzaile batek kodea exekuta lezake host-ean. Ahultasun
horretarako CVE-2019-5524 identifikatzailea erreserbatu da.
- VMware Workstation eta Fusion-ek mugez kanpoko idazketa erako ahultasun bat daukate e1000 eta e1000e sare egokitzaile birtualetan. Hori baliatuz erasotzaile batek kodea exekuta lezake host-ean, baina probableagoa da zerbitzuaren ukapen egoera (DoS) eragitea. Ahultasun horretarako CVE-2019-5515 identifikatzailea erreserbatu da.
- VMware Fusion-ek autentifikazioaren gabezia erako ahultasun bat dauka web socket baten bidez sar daitekeen APIetan. Erasotzaile
batek ahultasun hori balia lezake host-aren erabiltzailea engainatuz JavaScript
bat exekuta dezan, VMware Tools instalatuta dagoen ekipo gonbidatuan baimenik
gabeko funtzioak egiteko xedeaz. Ahultasun horretarako CVE-2019-5514
identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, VMware, Ahultasuna