Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Risolte gravi vulnerabilità in prodotti VMware

denial-of-service  elevazione dei privilegi  VMware   lunedì, 8 gennaio 2018

VMware ha rilasciato un aggiornamento di sicurezza che corregge tre vulnerabilità di gravità elevata nei prodotti vRealize Operations for Horizon (V4H), vRealize Operations for Published Applications (V4PA), Workstation, Fusion, Horizon View Client e Tools. Se sfruttate con successo, le più gravi di queste vulnerabilità possono consentire ad un attaccante di elevare i propri privilegi, accedere ad informazioni riservate o causare condizioni di denial of service.

Dettagli delle vulnerabilità (in Inglese):

  • V4H and V4PA desktop agent privilege escalation vulnerability (CVE-2017-4946)
  • VMware Workstation and Horizon View Client out-of-bounds read issue via Cortado ThinPrint (CVE-2017-4948)
  • VMware Workstation and Fusion guest access control vulnerability (CVE-2017-4945)

Risultano variamente affetti da queste vulnerabilità i seguenti prodotti VMware:

  • vRealize Operations for Horizon (V4H) versione 6.x per Windows 
  • vRealize Operations for Published Applications (V4PA) versione 6.x per Windows
  • VMware Workstation Pro / Player (Workstation) versioni 12.x e 14.x
  • VMware Fusion Pro / Fusion (Fusion) versioni 8.x e 10.x per macOS
  • Horizon View Client for Windows versione 4.x

È necessario aggiornare i prodotti elencati alle seguenti versioni:

  • vRealize Operations for Horizon Desktop Agent 6.5.1 (anche incluso in Horizon 7.4)
  • vRealize Operations for Published Applications Desktop Agent 6.5.1
  • VMware Workstation Pro / Player 14.1.0 (non è prevista una patch per la versione 12.x)
  • Fusion 10.1.0 (non è prevista una patch per la versione 8.x)
  • Horizon View Client for Windows 4.7.0
  • VMware Tools deve essere aggiornato alla versione 10.2.0 per ogni VM per risolvere la vulnerabilità CVE-2017-4945

Si raccomanda di scaricare ed applicare gli aggiornamenti di sicurezza messi a disposizione da VMware il più presto possibile.

Per maggiori informazioni sulle vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare il seguente avviso di sicurezza di VMware (in Inglese):

Notizie correlate

Vulnerabilità multiple di tipo DoS in NGINX

12 novembre 2018

Sono state individuate tre diverse vulnerabilità, di cui una di gravità elevata, in NGINX che potrebbero consentire ad un attaccante remoto di causare condizioni di denial of service sui server affetti.Leggi tutto

Vulnerabilità critiche in VMware ESXi, Workstation e Fusion

12 novembre 2018

VMware ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica nei prodotti vSphere ESXi, Workstation e Fusion che può causare esecuzione di codice arbitrario.Leggi tutto

Vulnerabilità di tipo DoS in prodotti Cisco ASA e Cisco Firepower Threat Defense

2 novembre 2018

Cisco ha rilasciato un bollettino di sicurezza relativo ad una vulnerabilità di gravità elevata nei prodotti software Cisco Adaptive Security Appliance (ASA) e Cisco Firepower Threat Defense (FTD).Leggi tutto