Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica in VMware ESXi e Horizon DaaS

remote code execution  VMware   lunedì, 9 dicembre 2019

VMware ha rilasciato un avviso di sicurezza relativo a una vulnerabilità critica (CVE-2019-5544) nei prodotti VMware ESXi e Horizon DaaS.

La vulnerabilità è legata ad una falla di tipo heap overwrite (sovrascrittura della memoria heap) nel componente OpenSLP, un’implementazione open source del protocollo standard IETF Service Location Protocol. Questa vulnerabilità può essere sfruttata da un attaccante remoto con accesso di rete sulla porta 427 ad un server host ESXi o ad un apparato di gestione Horizon DaaS e può causare l’esecuzione di codice arbitrario sul dispositivo affetto.

Risultano affette da queste vulnerabilità le seguenti versioni di ESXi e Horizon DaaS:

  • ESXi 6.7
  • ESXi 6.5
  • ESXi 6.0
  • Horizon DaaS 8.x

È necessario aggiornare ESXi alle seguenti versioni:

  • ESXi 6.7: applicare la patch ESXi670-201912001
  • ESXi 6.5: applicare la patch ESXi650-201912001
  • ESXi 6.0: applicare la patch ESXi600-201912001

Per quanto riguarda Horizon DaaS, non è ancora disponibile una patch ufficiale. Sono invece disponibili soluzioni di mitigazione sia per ESXi, sia per Horizon DaaS.

Per maggiori informazioni su questa vulnerabilità, sui prodotti affetti, sugli aggiornamenti disponibili e sulle soluzioni di mitigazione è possibile consultare il seguente avviso di sicurezza di VMware (in Inglese):

Notizie correlate

Vulnerabilità critiche 0-day in libreria Adobe Type Manager su Windows

24 marzo 2020

Sono state scoperte due vulnerabilità critiche zero-day nella gestione dei caratteri Adobe Type 1 in Windows che possono causare l'esecuzione di codice arbitrario da remoto.Leggi tutto

Aggiornamenti di sicurezza per prodotti VMware

17 marzo 2020

VMware ha rilasciato un avviso di sicurezza relativo a tre vulnerabilità, di cui una critica e altre due di gravità elevata, nei prodotti VMware Horizon Client, VMRC, Workstation e Fusion.Leggi tutto

Aggiornamento di sicurezza Android (marzo 2020)

3 marzo 2020

Google ha rilasciato l'aggiornamento di sicurezza di marzo che risolve svariate vulnerabilità nel sistema operativo Android, le più gravi delle quali potrebbero consentire l'esecuzione di codice da remoto sul dispositivo.Leggi tutto