Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità di tipo DoS in VMware ESXi, Workstation e Fusion

denial-of-service  VMware   mercoledì, 10 ottobre 2018

VMware ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità di gravità elevata (CVE-2018-6977) nei prodotti vSphere ESXi (ESXi)Workstation Pro/Player (Workstation) e Fusion Pro, Fusion (Fusion).

La vulnerabilità, di tipo denial of service (DoS), è legata ad una condizione di ciclo infinito che si verifica in uno shader utilizzato per il rendering 3D. Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante con i normali privilegi d’utente di far sì che la macchina virtuale (VM) non risponda più ai comandi e, in alcuni casi, di bloccare altre VM sullo stesso host o l’host stesso.

Risultano affette da questa vulnerabilità tutte le versioni di ESXi, Workstation e Fusion per tutte le piattaforme supportate.

Al momento Vmware non ha rilasciato aggiornamenti specifici per risolvere questa vulnerabilità nei prodotti affetti, fornendo unicamente soluzioni di mitigazione che consistono sostanzialmente nel disabilitare la funzionalità di accelerazione 3D nelle applicazioni interessate.

Per maggiori informazioni sulle vulnerabilità, sui prodotti affetti e sulle soluzioni di mitigazione è possibile consultare il seguente avviso di sicurezza di VMware (in Inglese):

Notizie correlate

Vulnerabilità multiple in prodotti Splunk

19 ottobre 2018

Sono stati recentemente rilasciati aggiornamenti che correggono gravi vulnerabilità nei prodotti Splunk Enterprise e Splunk Light.Leggi tutto

Vulnerabilità critica in VMware ESXi, Workstation e Fusion

17 ottobre 2018

VMware ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica nei prodotti vSphere ESXi, Workstation e Fusion che può causare esecuzione di codice arbitrario.Leggi tutto

Vulnerabilità multiple in PHP 7

15 ottobre 2018

Sono state scoperte diverse vulnerabilità in PHP 7 che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o di causare condizioni di denial of service.Leggi tutto