Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità di tipo DoS in VMware ESXi, Workstation e Fusion

denial-of-service  VMware   mercoledì, 10 ottobre 2018

VMware ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità di gravità elevata (CVE-2018-6977) nei prodotti vSphere ESXi (ESXi)Workstation Pro/Player (Workstation) e Fusion Pro, Fusion (Fusion).

La vulnerabilità, di tipo denial of service (DoS), è legata ad una condizione di ciclo infinito che si verifica in uno shader utilizzato per il rendering 3D. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante con i normali privilegi d’utente di far sì che la macchina virtuale (VM) non risponda più ai comandi e, in alcuni casi, di bloccare altre VM sullo stesso host o l’host stesso.

Risultano affette da questa vulnerabilità tutte le versioni di ESXi, Workstation e Fusion per tutte le piattaforme supportate.

Al momento Vmware non ha rilasciato aggiornamenti specifici per risolvere questa vulnerabilità nei prodotti affetti, fornendo unicamente soluzioni di mitigazione che consistono sostanzialmente nel disabilitare la funzionalità di accelerazione 3D nelle applicazioni interessate.

Per maggiori informazioni sulle vulnerabilità, sui prodotti affetti e sulle soluzioni di mitigazione è possibile consultare il seguente avviso di sicurezza di VMware (in Inglese):

Notizie correlate

Vulnerabilità multiple in PHP

10 dicembre 2018

Sono state scoperte diverse vulnerabilità in PHP 5 e 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Vulnerabilità multiple di tipo DoS in Samba

28 novembre 2018

Sono stati rilasciati aggiornamenti di sicurezza che risolvono diverse vulnerabilità in Samba, le più gravi delle quali possono causare condizioni di denial of service.Leggi tutto

Vulnerabilità di tipo DoS nel kernel Linux

27 novembre 2018

Sono state rese note due vulnerabilità di media gravità nel kernel Linux sfruttabili da un attaccante locale per causare condizioni di denial of service sui sistemi affetti.Leggi tutto