Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica in VMware ESXi e Horizon DaaS

remote code execution  VMware   lunedì, 9 dicembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a una vulnerabilità critica (CVE-2019-5544) nei prodotti VMware ESXi e Horizon DaaS.

La vulnerabilità è legata ad una falla di tipo heap overwrite (sovrascrittura della memoria heap) nel componente OpenSLP, un’implementazione open source del protocollo standard IETF Service Location Protocol. Questa vulnerabilità può essere sfruttata da un attaccante remoto con accesso di rete sulla porta 427 ad un server host ESXi o ad un apparato di gestione Horizon DaaS e può causare l’esecuzione di codice arbitrario sul dispositivo affetto.

Risultano affette da queste vulnerabilità le seguenti versioni di ESXi e Horizon DaaS:

  • ESXi 6.7
  • ESXi 6.5
  • ESXi 6.0
  • Horizon DaaS 8.x

È necessario aggiornare ESXi alle seguenti versioni:

  • ESXi 6.7: applicare la patch ESXi670-201912001
  • ESXi 6.5: applicare la patch ESXi650-201912001
  • ESXi 6.0: applicare la patch ESXi600-201912001

Per quanto riguarda Horizon DaaS, non è ancora disponibile una patch ufficiale. Sono invece disponibili soluzioni di mitigazione sia per ESXi, sia per Horizon DaaS.

Per maggiori informazioni su questa vulnerabilità, sui prodotti affetti, sugli aggiornamenti disponibili e sulle soluzioni di mitigazione è possibile consultare il seguente avviso di sicurezza di VMware (in Inglese):

Notizie correlate

Avviso di sicurezza di Microsoft per falla critica 0-day in Internet Explorer

20 gennaio 2020

Microsoft ha rilasciato un avviso di sicurezza relativo ad una vulnerabilità critica zero-day in Internet Explorer che può causare l’esecuzione di codice arbitrario da remoto.Leggi tutto

Grave vulnerabilità in VMware Tools

15 gennaio 2020

VMware ha rilasciato un avviso di sicurezza relativo a una vulnerabilità di gravità elevata nel prodotto VMware Tools per Windows.Leggi tutto

Grave Vulnerabilità 0-Day su Citrix NetScaler e ADC

13 gennaio 2020

È stata recentemente individuata una grave vulnerabilità zero-day nei prodotti Citrix NetScaler, Citrix Application Delivery Controller (ADC) e Citrix Gateway.Leggi tutto