VMware ESXi, Workstation and Fusion updates address multiple security issues (VMSA-2019-0005)
Productos Afectados:
- VMware vSphere ESXi (ESXi)
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion Pro / Fusion (Fusion)
Descripción:
1. VMware ESXi, Workstation y Fusion UHCI vulnerabilidades fuera de límite Lectura/escritura y Tiempo de verificación /uso
VMware ESXi, Workstation y Fusion contienen una vulnerabilidad de lectura / escritura y una vulnerabilidad de tiempo de verificación/uso en el USB 1.1 virtual UHCI (interfaz de controlador de host universal). Para explotar esta vulnerabilidad se requiere que un atacante tenga acceso a una máquina virtual con un controlador USB virtual presente, esto puede permitir que un invitado ejecute código en el host.
CVE: CVE-2019-5518, CVE-2019-5519,
Solución: La siguiente tabla muestra la acción requerida para remediar la vulnerabilidad en cada versión:
2. VMware Workstation y Fusion Vulnerabilidad de escritura fuera de los límites en el adaptador de red virtual e1000
VMware Workstation y Fusion contienen una vulnerabilidad de escritura fuera del límite en el adaptador de red virtual e1000. Este problema puede permitir que un invitado ejecute código en el host.
CVE: CVE-2019-5524
Solución: La siguiente tabla muestra la acción requerida para remediar la vulnerabilidad en cada versión:
VMware Product | Product Version | Running On | Severity | Replace with/Apply Patch | Descargar | Documentación |
---|---|---|---|---|---|---|
Workstation | 15.x | Any | N/A | Not Affected | ||
Workstation | 14.x | Any | Critical | 14.1.6 | https://www.vmware.com/go/downloadplayer | https://docs.vmware.com/en/VMware-Workstation-Player/index.html |
Fusion | 11.x | OSX | N/A | Not Affected | ||
Fusion | 10.x | OSX | Critical | 10.1.6 | https://www.vmware.com/go/downloadfusion | https://docs.vmware.com/en/VMware-Fusion/index.html |
3. VMware Workstation y Fusion Vulnerabilidad de escritura fuera de los límites en los adaptadores de red virtuales e1000 y e1000e
La explotación de esta vulnerabilidad puede llevar a la ejecución de código en el host desde el invitado, regularmente se convierte en una denegación de servicio del invitado.
CVE: CVE-2019-5515
Solución: La siguiente tabla muestra la acción requerida para remediar la vulnerabilidad en cada versión:
VMware Product | Product Version | Running On | Severity | Replace with/Apply Patch | Descargar | Documentación |
---|---|---|---|---|---|---|
Workstation | 15.x | Any | Important | 15.0.3 | https://www.vmware.com/go/downloadworkstation | https://docs.vmware.com/en/VMware-Workstation-Pro/index.html |
Workstation | 14.x | Any | Important |
14.1.6
|
https://www.vmware.com/go/downloadplayer | https://docs.vmware.com/en/VMware-Workstation-Player/index.html |
Fusion | 11.x | OSX | Important | 11.0.3 | https://www.vmware.com/go/downloadfusion | https://docs.vmware.com/en/VMware-Fusion/index.html |
Fusion | 10.x | OSX | Important | 10.1.6 | https://www.vmware.com/go/downloadfusion | https://docs.vmware.com/en/VMware-Fusion/index.html |
4. VMware Fusion Vulnerabilidades de seguridad de las APIs no autenticadas
VMware Fusion contiene una vulnerabilidad de seguridad debido a ciertas APIs no autenticadas accesibles a través de un socket web. Un atacante puede explotar este problema engañando al usuario del host para que ejecute un JavaScript y realizar funciones no autorizadas en la máquina invitada donde está instalado VMware Tools. Esto puede ser explotado para ejecutar comandos en las máquinas invitadas.
CVE: CVE-2019-5514
Solución: La siguiente tabla muestra la acción requerida para remediar la vulnerabilidad en cada versión:
VMware Product | Product Version | Running On | Severity | Replace with/Apply Patch | Descargar | Documentación |
---|---|---|---|---|---|---|
Fusion | 11.x | OSX | Critical | 11.0.3 | https://www.vmware.com/go/downloadfusion | https://docs.vmware.com/en/VMware-Fusion/index.html |
Fusion | 11.x | OSX | N/A |
Not Affected
|
https://www.vmware.com/go/downloadfusion | https://docs.vmware.com/en/VMware-Fusion/index.html |
Referencias:
https://www.vmware.com/security/advisories/VMSA-2019-0005.html
No Comment
You can post first response comment.