Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun VMwareren produktuetan

Argitalpen data: 2019/03/29

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • VMware vCloud Director for Service Providers (vCD), 9.5.x bertsioa;
  • VMware vSphere ESXi (ESXi), 6.0, 6.5 eta 6.7 bertsioak edozein plataformatan;
  • VMware Workstation Pro / Player (Workstation), 14.x eta 15.x bertsioak edozein plataformatan;
  • VMware Fusion Pro / Fusion (Fusion), 10.x eta 11.X bertsioak OSXen.

Azalpena:

VMwarek bere produktu batzuei eragiten dieten 5 ahultasunen berri eman du.

Konponbidea:

  • Zerbitzu hornitzaileentzako VMware vCloud Director (vCD), 9.5.0.3 bertsiora eguneratzea;
  • VMware vSphere ESXi (ESXi): 
  • VMware Workstation Pro (Workstation):
    • 14.x bertsioen kasuan, 14.1.7ra eguneratzea
    • 15.x bertsioen kasuan, 15.0.4ra eguneratzea
  • VMware Workstation Player (Workstation):
    • 14.x bertsioen kasuan, 14.1.7ra eguneratzea
    • 15.x bertsioen kasuan, 15.0.4ra eguneratzea
  • VMware Fusion Pro / Fusion (Fusion):
    • 10.x bertsioen kasuan, 10.1.6 bertsiora eguneratzea
    • 11.x bertsioen kasuan, 11.0.3 bertsiora eguneratzea

Xehetasuna:

  • Zerbitzu hornitzaileentzako VMware vCloud Director-ek urruneko saioaren bahiketa erako ahultasun bat dauka Tenant eta Provider atarietan. Ahultasun hori baliatuz asmo gaiztoko erasotzaile bat atari horietara sar liteke, une horretan saioa hasi duen erabiltzaile bat dela irudikatuz. Ahultasun horretarako CVE-2019-5523 identifikatzailea erreserbatu da.
  • USB 1.1 kontrolatzaile birtual bat duen VMware ESXi, Workstation edo Fusion-en makina birtual batera sarbidea duen erasotzaile batek mugaz kanpoko irakurketa/idazketa erako edo Time-of-check Time-of-use (TOCTOU) erako ahultasun batzuk balia litzake. Horrela host-ean kodea exekuta lezake. Ahultasun horietarako CVE-2019-5518 eta CVE-2019-5519 identifikatzaileak erreserbatu dira.
  • VMware Workstation eta Fusion-ek mugez kanpoko idazketa erako ahultasun bat daukate e1000 sare egokitzaile birtualean. Hori baliatuz erasotzaile batek kodea exekuta lezake host-ean. Ahultasun horretarako CVE-2019-5524 identifikatzailea erreserbatu da.
  • VMware Workstation eta Fusion-ek mugez kanpoko idazketa erako ahultasun bat daukate e1000 eta e1000e sare egokitzaile birtualetan. Hori baliatuz erasotzaile batek kodea exekuta lezake host-ean, baina probableagoa da zerbitzuaren ukapen egoera (DoS) eragitea. Ahultasun horretarako CVE-2019-5515 identifikatzailea erreserbatu da.
  • VMware Fusion-ek autentifikazioaren gabezia erako ahultasun bat dauka web socket baten bidez sar daitekeen APIetan. Erasotzaile batek ahultasun hori balia lezake host-aren erabiltzailea engainatuz JavaScript bat exekuta dezan, VMware Tools instalatuta dagoen ekipo gonbidatuan baimenik gabeko funtzioak egiteko xedeaz. Ahultasun horretarako CVE-2019-5514 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, VMware, Ahultasuna