fbpx

VMware Security Advisories – Septiembre 2019

VMSA-2019-0013.1

1. Productos impactados
  • VMware vSphere ESXi (ESXi)
  • VMware vCenter Server (vCenter)
2. Introducción

Las actualizaciones de ESXi y vCenter abordan múltiples vulnerabilidades.

  • CVE-2017-16544: vulnerabilidad de inyección de comandos de VMware ESXi
  • CVE-2019-5531: Vulnerabilidad de divulgación de información de ESXi Host Client, vCenter vSphere Client y vCenter vSphere Web Client
  • CVE-2019-5532: Vulnerabilidad de divulgación de información del servidor VMware vCenter
  • CVE-2019-5534: Vulnerabilidad de divulgación de información de VMware vCenter Server en las propiedades de vAppConfig
3a. Vulnerabilidad de inyección de comandos de VMware ESXi ‘busybox’ – CVE-2017-16544

Descripción:

ESXi contiene una vulnerabilidad de inyección de comandos debido al uso de una versión vulnerable de busybox , lo que puede provocar la ejecución de cualquier secuencia de escape en el shell. VMware ha catalogado la gravedad de este problema en el rango de moderada.

Vectores de ataque conocidos:

Un atacante puede explotar este problema engañando a un administrador de ESXi para que ejecute comandos de shell proporcionando un archivo malicioso. 

Resolución:

Actualice a las versiones enumeradas en la columna ‘Versión de Reparación’ de la ‘Matriz de Resolución’ que se encuentra a continuación.

Matriz de resolución:

3b. Vulnerabilidad de divulgación de información de ESXi Host Client, vCenter vSphere Client y vCenter vSphere Web Client – CVE-2019-5531

Descripción:

Una vulnerabilidad de divulgación de información en clientes que surge de una caducidad de sesión insuficiente.  VMware ha catalogado la gravedad de este problema en el rango de moderada.

Este problema afecta a:

  • ESXi VMware Host Client (6.7, 6.5, 6.0).
  • vCenter Server vSphere Client (HTML5) (6.7, 6.5).
  • vCenter Server vSphere Web Client (FLEX / Flash) (6.7, 6.5, 6.0).

Vectores de ataque conocidos:

Un atacante con acceso físico o la capacidad de imitar una conexión websocket al navegador de un usuario puede obtener el control de una consola VM después de que el usuario haya cerrado sesión o su sesión haya expirado.

Resolución:

Actualice a las versiones enumeradas en la columna ‘Versión de Reparación’ de la ‘Matriz de Resolución’ que se encuentra a continuación.

Matriz de resolución:

3c. Vulnerabilidad de divulgación de información de VMware vCenter Server – CVE-2019-5532

Descripción:

VMware vCenter Server contiene una vulnerabilidad de divulgación de información debido al registro de credenciales en texto sin formato, para máquinas virtuales implementadas a través de OVF.  VMware ha catalogado la gravedad de este problema en el rango de importante.

Vectores de ataque conocidos:

Un usuario malintencionado con acceso a los archivos de log que contienen propiedades de vCenter OVF de una máquina virtual implementada desde un OVF, puede ver las credenciales utilizadas para implementar el OVF (generalmente la cuenta root de la máquina virtual).

Resolución:

Actualice a las versiones enumeradas en la columna ‘Versión de Reparación’ de la ‘Matriz de Resolución’ que se encuentra a continuación.

Soluciones alternativas:

 Si la contraseña de la cuenta de implementación (generalmente root) se cambia en la máquina virtual después de la implementación de OVF, las credenciales almacenadas en las propiedades de vCenter OVF ya no serán válidas y no podrán utilizarse para acceder a la máquina virtual.

Matriz de resolución:

3d. Vulnerabilidad de divulgación de información en las propiedades de vAppConfig (CVE-2019-5534)

Descripción:

Las máquinas virtuales implementadas desde un OVF podrían exponer información de inicio de sesión a través de las propiedades vAppConfig de la máquina virtual.  VMware ha catalogado la gravedad de este problema en el rango de importante.

Vectores de ataque conocidos:

Un actor malicioso con acceso para consultar las propiedades de vAppConfig de una máquina virtual implementada desde un OVF puede ver las credenciales utilizadas para implementar el OVF (generalmente la cuenta raíz de la máquina virtual).

Resolución:

Actualice a las versiones enumeradas en la columna ‘Versión de Reparación’ de la ‘Matriz de Resolución’ que se encuentra a continuación.

Soluciones alternativas:

La información almacenada en las propiedades de vAppConfig se captura en el momento de la implementación. Si la contraseña de la cuenta de implementación (normalmente root) se cambia en la máquina virtual después de la implementación del OVF, las credenciales almacenadas en las propiedades de vAppConfig ya no serán válidas y no podrán utilizarse para acceder a la máquina virtual.

Matriz de resolución:

4. Referencias

Versión (es) de Reparación:

Descargas y documentación de ESXi 6.7 U3:

https://my.vmware.com/web/vmware/details?productId=742&downloadGroup=ESXI67U3
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-esxi-67u3-release-notes .html

Descargas y documentación de ESXi 6.7 U2:

https://my.vmware.com/group/vmware/details?productId=742&downloadGroup=ESXI67U2
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-esxi-67u2-release-notes .html

Descargas y documentación de ESXi 6.7 U1:

https://my.vmware.com/web/vmware/details?downloadGroup=ESXI67U1&productId=742
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-esxi-671-release-notes .html

Descargas y documentación de ESXi 6.5 U3:

https://my.vmware.com/web/vmware/details?downloadGroup=ESXI65U3&productId=614
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-esxi-65u3-release-notes .html

ESXi 6.5, versión de parche ESXi650-201806001
https://my.vmware.com/group/vmware/patchhttps://kb.vmware.com/s/article/55912

ESXi 6.0, versión de parche ESXi600-201807001 
https://my.vmware.com/group/vmware/patchhttps://kb.vmware.com/s/article/53627

ESXi 6.0, versión de parche ESXi600-201909001
https://my.vmware.com/group/vmware/patchhttps://docs.vmware.com/en/VMware-vSphere/6.0/rn/esxi600-201909001.html

Descargas y documentación de vCenter 6.7 U1b:

https://my.vmware.com/group/vmware/details?downloadGroup=VC67U1B&productId=742
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u1b-release -notes.html

Descargas y documentación de vCenter 6.7 U2b:

https://my.vmware.com/group/vmware/details?downloadGroup=VC65U2B&productId=614&rPId=24466
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u2b -release-notes.html

Descargas y documentación de vCenter 6.5 U3 :

https://my.vmware.com/web/vmware/details?productId=614&downloadGroup=VC65U3
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u3-release -notes.html

Descargas y documentación de vCenter 6.0 U3j :

https://my.vmware.com/web/vmware/details?downloadGroup=VC60U3J&productId=491
https://docs.vmware.com/en/VMware-vSphere/6.0/rn/vsphere-vcenter-server-60u3j-release -notes.html


VMSA-2019-0014.1

1. Productos impactados
  • VMware vSphere ESXi (ESXi)
  • VMware Workstation Pro / Player (estación de trabajo)
  • VMware Fusion Pro / Fusion (Fusion)
  • VMware Remote Console para Windows (VMRC para Windows)
  • VMware Remote Console para Linux (VMRC para Linux)
  • VMware Horizon Client para Windows
  • VMware Horizon Client para Linux
  • VMware Horizon Client para Mac
2. Introducción

Las actualizaciones de VMware ESXi, Workstation, Fusion, VMRC y Horizon Client corrigen las vulnerabilidades de use-after-free y de denegación de servicio.

  • CVE-2019-5527: ESXi, Workstation, Fusion, VMRC y Horizon Client vulnerabilidad de use-after-free
  • CVE-2019-5535: vulnerabilidad de denegación de servicio de red VMware Workstation y Fusion
3a. Vulnerabilidad de use-after-free de ESXi, Workstation, Fusion, VMRC y Horizon Client (CVE-2019-5527)

Descripción:

ESXi, Workstation, Fusion, VMRC y Horizon Client contienen una vulnerabilidad sin uso en el dispositivo de sonido virtual.  VMware ha catalogado la gravedad de este problema en el rango de importante.

Vectores de ataque conocidos:

Un atacante local con acceso no administrativo en la máquina invitada puede explotar este problema para ejecutar código en el host.

Resolución:

Actualice a las versiones enumeradas en la columna ‘Versión de Reparación’ de la ‘Matriz de Respuesta’ que se encuentra a continuación.

Matriz de respuesta:

3b. Vulnerabilidad de denegación de servicio de red VMware Workstation y Fusion (CVE-2019-5535)

Descripción:

VMware Workstation y Fusion contienen una vulnerabilidad de denegación de servicio de red debido al manejo inadecuado de ciertos paquetes IPv6.  VMware ha catalogado la gravedad de este problema en el rango de moderada.

Vectores de ataque conocidos:

Un atacante puede explotar este problema mediante el envío de un paquete IPv6 especialmente diseñado desde una máquina guest en VMware NAT, para no permitir el acceso a la red de todas las máquinas guests que usan el modo VMware NAT. Este problema solo puede explotarse si el modo IPv6 para VMNAT está habilitado.

Resolución:

Actualice a las versiones enumeradas en la columna ‘Versión de Reparación’ de la ‘Matriz de Respuesta’ que se encuentra a continuación.

Notas:

El modo IPv6 para VMNAT no está habilitado de manera predeterminada.

Matriz de respuesta:

4. Referencias

Versiones de Resolución

VMware ESXi 6.7 U2
https://my.vmware.com/web/vmware/details?productId=742&downloadGroup=ESXI67U2
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere -esxi-67u2-release-notes.html

VMware ESXi 6.5, versión de parche ESXi650-201903001 
https://my.vmware.com/group/vmware/patch
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/esxi650- 201903001.html

VMware ESXi 6.0, versión de parche ESXi600-201909001
https://my.vmware.com/group/vmware/patch
https://docs.vmware.com/en/VMware-vSphere/6.0/rn/esxi600- 201909001.html

VMware Workstation 15.5.0
https://www.vmware.com/go/downloadworkstation
https://docs.vmware.com/en/VMware-Workstation-Pro/index.html

VMware Fusion 11.5.0 :
https://www.vmware.com/go/downloadfusion
https://docs.vmware.com/en/VMware-Fusion/index.html

VMware Remote Console 10.0.x
https://my.vmware.com/web/vmware/details?downloadGroup=VMRC1006&productId=742
https://docs.vmware.com/en/VMware-Remote-Console/10.0 /rn/VMware-Remote-Console-1006-Release-Notes.html

VMware Horizon Client 5.2.0
https://my.vmware.com/web/vmware/info/slug/desktop_end_user_computing/vmware_horizon_clients/5_0
https://docs.vmware.com/en/VMware-Horizon-Client /index.html


VMSA-2019-0015

1. Productos impactados
  • VMware Cloud Foundation
  • VMware Harbor Container Registry para PCF
2. Introducción

Se reveló una escalada remota de vulnerabilidad de privilegios en Harbor, un proyecto de código abierto de la Fundación de Computación Nativa de la Nube (CNCF). Hay parches y soluciones disponibles para remediar o solucionar esta vulnerabilidad en los productos VMware afectados.

3. Escalada remota de vulnerabilidad de privilegios en Harbor (CVE-2019-16097)

Descripción:

Una vulnerabilidad en la API POST / api / users de Harbor puede permitir una escalada remota de privilegios.  VMware ha catalogado la gravedad de este problema en el rango de crítica.

Vectores de ataque conocidos:

Un actor malicioso con acceso a la red a una API de POST / api / users de Harbour podría autorregistrar una nueva cuenta con privilegios administrativos. La explotación exitosa de este problema puede llevar a un compromiso completo del despliegue de Harbor.

Resolución:

Actualice a las versiones enumeradas en la columna ‘Versión de Reparación’ de la ‘Matriz de Respuesta’ que se encuentra a continuación.

Soluciones alternativas:

Los productos VMware pueden solucionar CVE-2019-16097 al deshabilitar el registro automático en Harbor. Consulte la columna ‘Soluciones’ de la ‘Matriz de resolución’ que se encuentra a continuación.

Matriz de respuesta:

* VMware Cloud Foundation se ve afectado si se ha implementado el componente opcional ‘Harbor Registry’.

4. Referencias

VMware Harbor Container Registry para PCF 1.8.3

https://network.pivotal.io/products/harbor-container-registry/#/releases/470132

VMware Harbor Container Registry para PCF 1.7.6
https://network.pivotal.io/products/harbor-container-registry/#/releases/470129

Soluciones alternativas:

https://github.com/goharbor/harbor/wiki/Harbor-FAQs#cve-2019-16097

PRIMERA calculadora CVSSv3:
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I: H / A: H

Enlaces del Diccionario Mitre CVE:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16097

Asesoramiento fundamental:
https://pivotal.io/security/cve-2019-16097

Fuente: VMware

VMware Security Advisories – Agosto 2019

VMSA-2019-0012

1. Productos impactados
  • VMware vSphere ESXi (ESXi)
  • VMware Workstation Pro / Player (estación de trabajo)
  • VMware Fusion Pro / Fusion (Fusion)
2. Introducción

Las actualizaciones de VMware ESXi, Workstation y Fusion abordan las siguientes vulnerabilidades del sombreador de píxeles:

  • CVE-2019-5521 – Vulnerabilidad de lectura fuera de límites – CVSSv3 = 6.3-7.7
  • CVE-2019-5684 – Vulnerabilidad de escritura fuera de límites – CVSSv3 = 8.5
3. VMware ESXi, Workstation y Fusion. Vulnerabilidad de lectura / escritura fuera de los límites del sombreador de pixeles (CVE-2019-5521, CVE-2019-5684)

Descripción:

VMware ESXi, Workstation y Fusion contienen vulnerabilidades de lectura / escritura fuera de los límites en la funcionalidad del sombreador de píxeles. VMware ha evaluado la gravedad de estos problemas para estar en el  rango de gravedad importante.

Vectores de ataque conocidos:

La explotación de estos problemas requiere que un atacante tenga acceso a una máquina virtual con gráficos 3D habilitados. No está habilitado de forma predeterminada en ESXi, y está habilitado de forma predeterminada en Workstation y Fusion.

La explotación exitosa del problema de lectura fuera de límites (CVE-2019-5521) puede conducir a la divulgación de información, o puede permitir a los atacantes con privilegios normales de usuario crear una condición de denegación de servicio en el host.

El problema de escritura fuera de los límites (CVE-2019-5684) solo puede explotarse si el host tiene un controlador de gráficos NVIDIA afectado. La explotación exitosa de este problema puede conducir a la ejecución de código en el host. Los clientes deben consultar el  aviso de seguridad de NVIDIA  para obtener información adicional. 

Resolución:

  • Para remediar estas vulnerabilidades, aplique los parches enumerados en la columna ‘Versión fija’ de la ‘Matriz de resolución’ que se encuentra a continuación.
  • Alternativamente, CVE-2019-5684 puede remediarse instalando el controlador de gráficos NVIDIA actualizado.

Soluciones alternativas:

La solución para estos problemas implica deshabilitar la función de aceleración 3D. Consulte la columna ‘Soluciones’ de la ‘Matriz de resolución’ que se encuentra a continuación.

Matriz de respuesta:

* CVE-2019-5684 es relevante si hay un controlador de gráficos NVIDIA afectado.

4. Referencias 

Enlace de aviso de seguridad de NIVDIA: 
https://nvidia.custhelp.com/app/answers/detail/a_id/4841

Versión (es) fija (s) y notas de lanzamiento:

ESXi 6.7

Descargas y documentación: 
https://my.vmware.com/web/vmware/info/slug/datacenter_cloud_infrastructure/vmware_vsphere/6_7 
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-esxi -67u2-release-notes.html

ESXi 6.5 
https://my.vmware.com/web/vmware/info/slug/datacenter_cloud_infrastructure/vmware_vsphere/6_5 
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/esxi650 -201903001.html

VMware Workstation Pro 14.1.6, 15.0.3

Descargas y documentación: 
https://www.vmware.com/go/downloadworkstation 
https://docs.vmware.com/en/VMware-Workstation-Pro/index.html

VMware Workstation Player 14.1.6, 15.0.3

Descargas y documentación: 
https://www.vmware.com/go/downloadplayer 
https://docs.vmware.com/en/VMware-Workstation-Player/index.html

VMware Fusion Pro / Fusion 10.1.6, 11.0.3

Descargas y documentación: 
https://www.vmware.com/go/downloadfusion 
https://docs.vmware.com/en/VMware-Fusion/index.html

Contáctenos

Para mayor información acerca de los productos VMware póngase en contacto con nosotros.

Escríbanos: ITsupport@ITtecture.com o solicite una DEMO 👉

Fuente: VMware

Se anuncia VMware vSphere 6.7 U3: ¿Qué hay de nuevo?

VMware anunció VMware vSphere 6.7 U3., el anuncio se realizó a través de la publicación del blog de VMware aquí .

Podemos ver que el producto ha integrado algunas características nuevas que, de nuevo, harán que la administración de VMware sea más fácil. Una de esas características que se han agregado es, por ejemplo, el cambio de PNID de vCenter Server (PNID significa identificador de red principal de vCenter Server), y es el “nombre del sistema” establecido en el instalador al implementar vCenter Server.

No había forma de cambiarlo después de instalar el servidor vCenter. Ahora será posible.

VMware también está presentando compatibilidad con la segunda generación de procesadores AMD EPYC ™,  bueno para quienes cuentan con procesadores AMD, ya que las CPU EPYC obtuvieron un mejor rendimiento.

Hay otras características nuevas, como VMXNET v4, que revisaremos mas adelante.

¿Qué hay de nuevo?

  • Compatibilidad con CPU AMD Epyc : la versión 6.7 U3 será compatible con la segunda generación de procesadores AMD EPYC ™. AMD y VMware anunciaron recientemente una estrecha colaboración para brindar soporte para la nueva seguridad y otras características de los  procesadores de alto rendimiento EPDC AMD de segunda generación.
  • Cambio de PNID de vCenter Server: nombre del sistema del servidor de vCenter, que se configura en el instalador al implementar vCenter Server. Ahora será posible cambiar el PNID después de la instalación. Ayudará a los clientes a admitir diferentes escenarios de migración. Cambiar el FQDN del servidor vCenter también puede ser útil para las fusiones y adquisiciones de empresas, donde las convenciones de nombres de servidores pueden diferir entre ellas.
  • Soporte de DNS dinámico : VCSA tendrá la capacidad de registrarse dinámicamente en servidores DNS. Anteriormente, el administrador requería una creación de DNS estático antes de la instalación.
  • VSAN 6.7 U3 con mejoras de rendimiento : vSphere 6.7 Update 3 proporcionará mejoras significativas de rendimiento a VMware vSAN. VMware tiene una publicación sobre los detalles de VSAN 6.7 aquí .
  • Compatibilidad con múltiples vGPU NVIDIA®: múltiples GPU virtuales NVIDIA GRID (vGPU) por VM, para permitir más cargas de trabajo intensivas en cómputo y gráficos que se ejecutan en vSphere (hasta 4 vGPU NVIDIA conectadas a una máquina virtual).
vSphere 6.7 Actualización 3

Algunos detalles y requisitos sobre los cambios de FQDN para el servidor vCenter (tomado de VMware):

  • Cambiar este FQDN solo es compatible con los nodos de vCenter Server integrados.
  • Verifique la compatibilidad del complemento antes de cambiar un FQDN de vCenter Server. No se recomienda un cambio de FQDN si los complementos NSX, vRA, SRM están registrados en vCenter Server.
  • Los acuerdos de replicación entre el nodo VCSA que cambia su FQDN deben eliminarse mediante vdcrepadmin.
  • vCenter HA (VCHA) debe destruirse antes de un cambio de FQDN y reconfigurarse después de los cambios.
  • Todos los certificados personalizados deberán ser regenerados.
  • El vCenter Server que ha cambiado de nombre deberá volver a unirse a Active Directory.
  • Asegúrese de que el nuevo FQDN / nombre de host se pueda resolver en la dirección IP proporcionada (registros A de DNS)

Conclusiones

VMware continúa mejorando su producto estrella: vSphere. Han sido varias las liberaciones desde que ya que no hay actualizaciones para el cliente Flash (eliminado). Otras actualizaciones de productos, como vSphere Replication, también se han actualizado recientemente.

Contáctenos

Para mayor información acerca de los productos VMware póngase en contacto con nosotros.

Escríbanos a ITsupport@ITtecture.com o hablemos por AQUÍ

Fuente: vldan | VMware