Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità di tipo DoS in VMware Workstation e Fusion

denial-of-service  VMware   venerdì, 16 marzo 2018

VMware ha rilasciato un aggiornamento di sicurezza che corregge una vulnerabilità di gravità elevata (CVE-2018-6957) nei prodotti VMware Workstation Pro / Player (su tutte le piattaforme supportate) e VMware Fusion e Fusion Pro (su macOS).

La vulnerabilità è presente nel caso in cui vengano configurate macchine virtuali con abilitata l’opzione VNC senza autenticazione. Un attaccante potrebbe sfruttare questa vulnerabilità aprendo un gran numero di sessioni VNC con conseguente condizione di denial of service sulle applicazioni affette.

Risultano affetti da questa vulnerabilità i seguenti prodotti VMware:

  • Workstation 12.x
  • Workstation 14.x
  • Fusion 8.x
  • Fusion 10.x

È necessario aggiornare i prodotti elencati alle seguenti versioni:

  • Workstation 14.1.1
  • Fusion 10.1.1

Si raccomanda di scaricare ed applicare gli aggiornamenti di sicurezza messi a disposizione da VMware il più presto possibile.

Come soluzione di mitigazione per i prodotti per i quali il produttore non ha reso disponibile una patch, si raccomanda di impostare una password di autenticazione per le connessioni VNC nella configurazione delle macchine virtuali abilitate.

Per maggiori informazioni sulla vulnerabilità, sui prodotti affetti, sugli aggiornamenti disponibili e sulle soluzioni di mitigazione è possibile consultare il seguente avviso di sicurezza di VMware (in Inglese):

Notizie correlate

Vulnerabilità multiple in PHP

15 gennaio 2019

Sono state scoperte diverse vulnerabilità in PHP 5 e 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Aggiornamenti di sicurezza per prodotti Juniper Networks (gennaio 2019)

10 gennaio 2019

Juniper Networks ha pubblicato una serie di bollettini di sicurezza relativi a vulnerabilità multiple scoperte in svariati prodotti software, tra cui alcune critiche in Junos OSLeggi tutto

Vulnerabilità in sistemi di controllo e automazione industriali Yokogawa

7 gennaio 2019

È stata recentemente svelata l'esistenza di una vulnerabilità di gravità elevata di tipo DoS in sistemi di controllo distribuito (DCS) e altri prodotti della società giapponese Yokogawa. Leggi tutto