Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza critici per prodotti VMware

VMware   lunedì, 1 aprile 2019

VMware ha rilasciato due avvisi di sicurezza relativi a vulnerabilità multiple, di cui alcune critiche, nei prodotti vSphere ESXi (ESXi), Workstation Pro/Player (Workstation), Fusion Pro, Fusion (Fusion) e VMware vCloud Director for Service Providers (vCD).

Dettagli delle vulnerabilità (in Inglese):

ESXi, Workstation, Fusion

  • [Critical] VMware ESXi, Workstation and Fusion UHCI out-of-bounds read/write and TOCTOU vulnerabilities (CVE-2019-5518, CVE-2019-5519)
  • [Critical] VMware Workstation and Fusion out-of-bounds write vulnerability in e1000 virtual network adapter (CVE-2019-5524)
  • [Important] VMware Workstation and Fusion out-of-bounds write vulnerability in e1000 and e1000e virtual network adapters (CVE-2019-5515)
  • [Critical] VMware Fusion unauthenticated APIs Security vulnerability (CVE-2019-5514)

Risultano variamente affette da queste vulnerabilità le seguenti versioni di ESXi, Workstation e Fusion:

  • ESXi 6.7
  • ESXi 6.5
  • ESXi 6.0
  • Workstation 15.x su tutte le piattaforme supportate
  • Workstation 14.x su tutte le piattaforme supportate
  • Fusion 11.x su macOS
  • Fusion 10.x su macOS

È necessario aggiornare i prodotti elencati alle seguenti versioni:

  • ESXi 6.7: applicare la patch ESXi670-201903001
  • ESXi 6.5: applicare la patch ESXi650-201903001
  • ESXi 6.0: applicare la patch ESXi600-201903001
  • Workstation 15.0.4
  • Workstation 14.1.7
  • Fusion 11.0.3
  • Fusion 10.1.6

vCD

  • [Critical] A Remote Session Hijack vulnerability in the Tenant and Provider Portals may allow a malicious actor to access the Tenant or Provider Portals by impersonating a currently logged in session (CVE-2019-5523)

Questa vulnerabilità è presente solamente in vCD 9.5.x. È necessario aggiornare il prodotto alla versione 9.5.0.3.

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare i seguenti avvisi di sicurezza di VMware (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza per prodotti VMware

3 luglio 2019

VMware ha rilasciato un avviso di sicurezza relativo a due vulnerabilità nell'implementazione di TCP SACK del kernel Linux che affliggono un gran numero di prodotti.Leggi tutto

Vulnerabilità in VMware Tools e Workstation

10 giugno 2019

VMware ha rilasciato un avviso di sicurezza relativo a due vulnerabilità di gravità elevata nei prodotti VMware Tools per Windows e Workstation Pro/Player per Linux.Leggi tutto

Aggiornamenti di sicurezza per prodotti VMware

17 maggio 2019

VMware ha rilasciato due avvisi di sicurezza relativi a vulnerabilità multiple in Workstation, Fusion, vCenter Server
, ESXi e in altri prodotti.Leggi tutto