Aggiornamenti di sicurezza in diversi prodotti VMware

15/11/2019

CVE-2018-12207 CVE-2019-11135 CVE-2019-5540 CVE-2019-5541 CVE-2019-5542 VMware Vulnerabilità

VMware ha rilasciato due aggiornamenti di sicurezza che correggono vulnerabilità critiche (tra cui l’esecuzione di codice arbitrario) nei noti prodotti dell’azienda.

Stando agli avvisi VMSA-2019-0020VMSA-2019-0021 del produttore i prodotti affetti sono:

  • VMware ESXi
  • VMware Workstation
  • VMware Fusion
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion Pro / Fusion (Fusion)

Descrizione delle vulnerabilità

  1. VMware ha introdotto controlli aggiuntivi a  ESXi, Workstation e Fusion per mitigare l’utilizzo della CVE-2018-12207 (Denial-of-Service vulnerability) che consente ad un utente con un accesso di amministratore in una macchina virtuale di bloccare l’intero server fisico che ospita la macchina in questione.
  2. VMware ha introdotto controlli aggiuntivi a  ESXi, Workstation e Fusion per mitigare l’utilizzo della CVE-2019-11135  (information exposure vulnerability) che consente ad un attacante di usare metodi statistici per il recupero di informazioni segrete da processi privilegiati eseguiti nello stesso core.
  3. La CVE-2019-5540 (information disclosure vulnerability) che affligge Workstation e Fusion potrebbe consentire a un utente malintenzionato su una VM guest di accedere informazioni segrete dell’Hypervisor.
  4. La CVE-2019-5541 (out-of-bounds write vulnerability) che affligge Workstation e Fusion potrebbe consentire ad un attaccante, con accesso ad una macchina virtuale, l’esecuzione di codice arbitrario sulla macchina fisica o di creare un Denial-of-service (DoS) sulla propria macchina virtuale.
  5. La CVE-2019-5542 (Denial-of-Service vulnerability) che affligge Workstation e Fusion potrebbe consentire ad utenti malintenzionati con normali privilegi di utente di creare una condizione di Denial-of-Service sulla propria macchina virtuale.

Raccomandazioni

Aggiornare i prodotti alle ultime versioni:

  • Per ESXi 6.7  disponibile patch ESXi-6.7.0-20191104001-standard
  • Per Workstation 15.x disponibile patch 15.5.1
  • Per Fusion 11.x disponibile patch 11.5.1

Per dettagli aggiuntivi dell’impatto delle vulnerabilità e versioni software coinvolte fare riferimento agli avvisi VMSA-2019-0020VMSA-2019-0021 emessi da VMware.