Urruneko exekuzio erako ahultasuna VMware produktuetan

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak Konfiguratu Onartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/12/10

Garrantzia: Kritikoa

Kaltetutako baliabideak:

VMware ESXi, honako bertsioak:
- 6.7,
- 6.5,
- 6.0.
VMware Horizon DaaS, 8.x bertsioen adarra.

Azalpena:

Tianfu Cup Pwn Contest 2019 lehiaketako 360Vulcan ekipoak VMware-ren hainbat produkturi eragiten dien larritasun kritikoko ahultasun bat aurkitu du. Urruneko erasotzaile batek kodea exekuta lezake sisteman.

Konponbidea:

VMwarek hainbat segurtasun partxe argitaratu ditu VMware ESXi-rako, kaltetutako bertsioaren arabera:
- 6.7 bertsioaren kasuan, ESXi670-201912001 partxea aplikatzea.
- 6.5 bertsioaren kasuan, ESXi650-201912001 partxea aplikatzea.
- 6.0 bertsioaren kasuan, ESXi600-201912001 partxea aplikatzea.
Horizon DaaS-en kasuan, Hotfix-en serie bat argitaratu da ahultasuna arintzeko, hori konpontzeko eguneraketa bat argitaratzen den bitartean.

Xehetasuna:

OpenSLP zerbitzuak duen memoria dinamikoaren (heap) gainidazketa erako ahultasun bat baliatuz, 247 atakara sarbidea lukeen urruneko erasotzaile batek kodea exekuta lezake sisteman. Ahultasun horretarako CVE-2019-5544 identifikatzailea erabili da.

Etiketak: Eguneraketa, VMware, Ahultasuna

Kontaktua

945 236 636

Intzidenteetarako sostengua

900 104 891

Lege oharra Cookie politika Pribatutasun politika