Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti VMware

VMware   venerdì, 17 maggio 2019

VMware ha rilasciato due avvisi di sicurezza relativi a vulnerabilità multiple in Workstation Pro/Player (Workstation), Fusion Pro, Fusion (Fusion), VMware vCenter Server (VC)
, VMware vSphere ESXi (ESXi)
 e in altri prodotti.

Il primo avviso riguarda una vulnerabilità di media gravità di tipo DLL hijacking (CVE-2019-5526) in VMware Workstation versioni precedenti alla 15.1.0.

Il secondo avviso riguarda una nuova categoria di vulnerabilità che consente attacchi side-channel alla cosiddetta “esecuzione speculativa” (speculative execution) nei processori Intel precedenti agli Intel® Xeon® Scalable Processors di 2a generazione (già noti come Cascade Lake). Queste vulnerabilità, note col nome collettivo di Microarchitectural Data Sampling (MDS), possono consentire ad un utente malevolo di eseguire codice in locale per ottenere informazioni che dovrebbero essere protette dai meccanismi architetturali della CPU.

Le categoria di vulnerabilità MDS comprende le seguenti quattro vulnerabilità:

  • CVE-2018-12126: Microarchitectural Store Buffer Data Sampling (MSBDS)
  • CVE-2018-12130: Microarchitectural Fill Buffer Data Sampling (MFBDS)
  • CVE-2018-12127: Microarchitectural Load Port Data Sampling (MLPDS)
  • CVE-2019-11091: Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

VMWare ha rilasciato patch e aggiornamenti specifici per i seguenti prodotti:

  • vCenter Server 6.7
  • vCenter Server1 6.5
  • vCenter Server 6.0
  • vCloud Usage Meter
  • Identity Manager
  • VMware Data protection 6.x
  • VMware Integrated Containers 1.x
  • vRealize Automation 7.x
  • vRealize Automation 6.x
  • ESXi 6.7
  • ESXi 6.5
  • ESXi 6.0
  • Workstation 15.x
  • Fusion 11.x

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare i seguenti avvisi di sicurezza di VMware (in Inglese):

Si consiglia inoltre di consultare le seguenti fonti esterne:

Notizie correlate

Aggiornamenti di sicurezza per prodotti VMware

15 novembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a diverse vulnerabilità, di cui due di gravità elevata, nei prodotti VMware ESXi, Workstation e Fusion.Leggi tutto

Aggiornamenti di sicurezza per prodotti VMware

23 settembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a due vulnerabilità, di cui una di gravità elevata, nei prodotti VMware ESXi, Workstation, Fusion, VMRC e Horizon Client.Leggi tutto

Aggiornamenti di sicurezza per prodotti VMware

18 settembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a quattro diverse vulnerabilità, di cui due di gravità elevata, nei prodotti VMware ESXi e vCenter Server.Leggi tutto