Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità di tipo DoS in VMware ESXi, Workstation e Fusion

denial-of-service  VMware   mercoledì, 10 ottobre 2018

VMware ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità di gravità elevata (CVE-2018-6977) nei prodotti vSphere ESXi (ESXi)Workstation Pro/Player (Workstation) e Fusion Pro, Fusion (Fusion).

La vulnerabilità, di tipo denial of service (DoS), è legata ad una condizione di ciclo infinito che si verifica in uno shader utilizzato per il rendering 3D. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante con i normali privilegi d’utente di far sì che la macchina virtuale (VM) non risponda più ai comandi e, in alcuni casi, di bloccare altre VM sullo stesso host o l’host stesso.

Risultano affette da questa vulnerabilità tutte le versioni di ESXi, Workstation e Fusion per tutte le piattaforme supportate.

Al momento Vmware non ha rilasciato aggiornamenti specifici per risolvere questa vulnerabilità nei prodotti affetti, fornendo unicamente soluzioni di mitigazione che consistono sostanzialmente nel disabilitare la funzionalità di accelerazione 3D nelle applicazioni interessate.

Per maggiori informazioni sulle vulnerabilità, sui prodotti affetti e sulle soluzioni di mitigazione è possibile consultare il seguente avviso di sicurezza di VMware (in Inglese):

Notizie correlate

Grave vulnerabilità in Cisco Network Assurance Engine

14 febbraio 2019

Cisco ha rilasciato un bollettino di sicurezza relativo ad una vulnerabilità di gravità elevata nel prodotto software Cisco Network Assurance Engine (NAE).Leggi tutto

Vulnerabilità multiple in PHP 7

13 febbraio 2019

Sono state scoperte diverse vulnerabilità in PHP 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto

Vulnerabilità in prodotti Cisco (23 gennaio 2019)

24 gennaio 2019

Cisco ha rilasciato il 23 gennaio 2019 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti.Leggi tutto