Descripción.
La versión de VMware ESXi 6.5, al build 5969300; se ve afectada por múltiples vulnerabilidades:
– En la Vulnerabilidad (CVE-2017-4924). Un error de escritura out-of-bounds relacionados con dispositivos SVGA, que permiten a una maquina virtual huésped ejecutar código en el host anfitrion.
Productos afectados
PRODUCTO VMware |
Version |
CORRE SOBRE |
SEVERIDAD |
Reemplazar con / Aplicar el parche |
|
ESXi
|
6.5 | ESXi | Critica | ESXi650-201707101-SG |
|
ESXi
|
6.0 | ESXi | N/A | No afectado |
|
ESXi
|
5.5 | ESXi | N/A | No afectado |
|
Workstation
|
12.x | Any | Critica | 12.5.7 |
|
Fusion
|
8.x | OSX | Critica | 8.5.8 |
– En la vulnerabilidad (CVE-2017-4925). La desviación del puntero NULL, que se relacionan con el manejo de solicitudes RPC que puede permitir a un atacante bloquear nuestra maquina virtual.
Productos afectados
Producto VMware |
Version |
Corre Sobre |
Severidad |
Reemplazar con / Aplicar el parche |
|
ESXi
|
6.5 | ESXi | Moderada |
ESXi650-201707101-SG
|
|
ESXi
|
6.0 | ESXi | Moderada |
ESXi600-201706101-SG
|
|
ESXi
|
5.5 | ESXi | Moderada | ESXi550-201709101-SG |
|
Workstation
|
12.x | Any | Moderada | 12.5.3 |
|
Fusion
|
8.x | OSX | Moderada | 8.5.4 |
– En la vulnerabilidad (CVE-2017-4926). vCenter Server H5 Client contiene una vulnerabilidad que puede permitir el almacenamiento de secuencias de comandos de sitios cruzados (XSS. Un atacante con privilegios de usuario de VC puede inyectar java-scripts maliciosos que se ejecutarán cuando otros usuarios de VC accedan a la página.
Productos afectados
Producto VMware |
Version |
Corre Sobre |
Severidad |
Reemplazar con / Aplicar el parche |
|
vCenter Server
|
6.5 | Any | Media | 6.5 U1 |
|
vCenter Server
|
6.0 | Any | N/A | No afectado |
|
vCenter Server
|
5.5 | Any | N/A | No afectado |
CVE: CVE-2017-4924 - CVE-2017-4925 - CVE: CVE-2017-4926 Factor de Riesgo: Alta Valor CVSS Base: 8.3
Solución.
Revise los parches lanzados para su producto.
Para VMware ESXi 6.5
Descargar:
https://my.vmware.com/group/vmware/patch
Documentación:
http://kb.vmware.com/kb/2149933
Para VMware ESXi 6.0
Descargar:
https://my.vmware.com/group/vmware/patch
Documentación:
http://kb.vmware.com/kb/2149960
Para VMware ESXi 5.5
Descargar:
https://my.vmware.com/group/vmware/patch
Descargar:
http://kb.vmware.com/kb/2150876
Para VMware vCenter Server 6.5 U1
Descargar:
https://my.vmware.com/web/vmware/details?downloadGroup=VC65U1&productId=614&rPId=17343
Documentación:
https://docs.vmware.com/en/VMware-vSphere/index.html
Para VMware Workstation Pro 12.5.7
Descargas y Documentación:
https://www.vmware.com/go/downloadworkstation
https://www.vmware.com/support/pubs/ws_pubs.html
Para VMware Workstation Player 12.5.7
Descargas y Documentación:
https://www.vmware.com/go/downloadplayer
https://www.vmware.com/support/pubs/player_pubs.html
Para VMware Workstation Pro 12.5.3
Descargas y Documentación:
https://www.vmware.com/go/downloadworkstation
https://www.vmware.com/support/pubs/ws_pubs.html
Para VMware Workstation Player 12.5.3
Descargas y Documentación:
https://www.vmware.com/go/downloadplayer
https://www.vmware.com/support/pubs/player_pubs.html
Para VMware Fusion Pro / Fusion 8.5.8
Descargas y Documentación:
https://www.vmware.com/go/downloadfusion
https://www.vmware.com/support/pubs/fusion_pubs.html
Para VMware Fusion Pro / Fusion 8.5.4
Descargas y Documentación:
https://www.vmware.com/go/downloadfusion
https://www.vmware.com/support/pubs/fusion_pubs.html
Referencias