Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza critici per prodotti VMware

VMware   lunedì, 1 aprile 2019

VMware ha rilasciato due avvisi di sicurezza relativi a vulnerabilità multiple, di cui alcune critiche, nei prodotti vSphere ESXi (ESXi), Workstation Pro/Player (Workstation), Fusion Pro, Fusion (Fusion) e VMware vCloud Director for Service Providers (vCD).

Dettagli delle vulnerabilità (in Inglese):

ESXi, Workstation, Fusion

  • [Critical] VMware ESXi, Workstation and Fusion UHCI out-of-bounds read/write and TOCTOU vulnerabilities (CVE-2019-5518, CVE-2019-5519)
  • [Critical] VMware Workstation and Fusion out-of-bounds write vulnerability in e1000 virtual network adapter (CVE-2019-5524)
  • [Important] VMware Workstation and Fusion out-of-bounds write vulnerability in e1000 and e1000e virtual network adapters (CVE-2019-5515)
  • [Critical] VMware Fusion unauthenticated APIs Security vulnerability (CVE-2019-5514)

Risultano variamente affette da queste vulnerabilità le seguenti versioni di ESXi, Workstation e Fusion:

  • ESXi 6.7
  • ESXi 6.5
  • ESXi 6.0
  • Workstation 15.x su tutte le piattaforme supportate
  • Workstation 14.x su tutte le piattaforme supportate
  • Fusion 11.x su macOS
  • Fusion 10.x su macOS

È necessario aggiornare i prodotti elencati alle seguenti versioni:

  • ESXi 6.7: applicare la patch ESXi670-201903001
  • ESXi 6.5: applicare la patch ESXi650-201903001
  • ESXi 6.0: applicare la patch ESXi600-201903001
  • Workstation 15.0.4
  • Workstation 14.1.7
  • Fusion 11.0.3
  • Fusion 10.1.6

vCD

  • [Critical] A Remote Session Hijack vulnerability in the Tenant and Provider Portals may allow a malicious actor to access the Tenant or Provider Portals by impersonating a currently logged in session (CVE-2019-5523)

Questa vulnerabilità è presente solamente in vCD 9.5.x. È necessario aggiornare il prodotto alla versione 9.5.0.3.

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare i seguenti avvisi di sicurezza di VMware (in Inglese):

Notizie correlate

Grave vulnerabilità in VMware Tools

15 gennaio 2020

VMware ha rilasciato un avviso di sicurezza relativo a una vulnerabilità di gravità elevata nel prodotto VMware Tools per Windows.Leggi tutto

Vulnerabilità critica in VMware ESXi e Horizon DaaS

9 dicembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a una vulnerabilità critica nei prodotti VMware ESXi e Horizon DaaS che può causare l'esecuzione di codice da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti VMware

15 novembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a diverse vulnerabilità, di cui due di gravità elevata, nei prodotti VMware ESXi, Workstation e Fusion.Leggi tutto