fbpx

VMware Security Advisories – Agosto 2019

VMSA-2019-0012

1. Productos impactados
  • VMware vSphere ESXi (ESXi)
  • VMware Workstation Pro / Player (estación de trabajo)
  • VMware Fusion Pro / Fusion (Fusion)
2. Introducción

Las actualizaciones de VMware ESXi, Workstation y Fusion abordan las siguientes vulnerabilidades del sombreador de píxeles:

  • CVE-2019-5521 – Vulnerabilidad de lectura fuera de límites – CVSSv3 = 6.3-7.7
  • CVE-2019-5684 – Vulnerabilidad de escritura fuera de límites – CVSSv3 = 8.5
3. VMware ESXi, Workstation y Fusion. Vulnerabilidad de lectura / escritura fuera de los límites del sombreador de pixeles (CVE-2019-5521, CVE-2019-5684)

Descripción:

VMware ESXi, Workstation y Fusion contienen vulnerabilidades de lectura / escritura fuera de los límites en la funcionalidad del sombreador de píxeles. VMware ha evaluado la gravedad de estos problemas para estar en el  rango de gravedad importante.

Vectores de ataque conocidos:

La explotación de estos problemas requiere que un atacante tenga acceso a una máquina virtual con gráficos 3D habilitados. No está habilitado de forma predeterminada en ESXi, y está habilitado de forma predeterminada en Workstation y Fusion.

La explotación exitosa del problema de lectura fuera de límites (CVE-2019-5521) puede conducir a la divulgación de información, o puede permitir a los atacantes con privilegios normales de usuario crear una condición de denegación de servicio en el host.

El problema de escritura fuera de los límites (CVE-2019-5684) solo puede explotarse si el host tiene un controlador de gráficos NVIDIA afectado. La explotación exitosa de este problema puede conducir a la ejecución de código en el host. Los clientes deben consultar el  aviso de seguridad de NVIDIA  para obtener información adicional. 

Resolución:

  • Para remediar estas vulnerabilidades, aplique los parches enumerados en la columna ‘Versión fija’ de la ‘Matriz de resolución’ que se encuentra a continuación.
  • Alternativamente, CVE-2019-5684 puede remediarse instalando el controlador de gráficos NVIDIA actualizado.

Soluciones alternativas:

La solución para estos problemas implica deshabilitar la función de aceleración 3D. Consulte la columna ‘Soluciones’ de la ‘Matriz de resolución’ que se encuentra a continuación.

Matriz de respuesta:

* CVE-2019-5684 es relevante si hay un controlador de gráficos NVIDIA afectado.

4. Referencias 

Enlace de aviso de seguridad de NIVDIA: 
https://nvidia.custhelp.com/app/answers/detail/a_id/4841

Versión (es) fija (s) y notas de lanzamiento:

ESXi 6.7

Descargas y documentación: 
https://my.vmware.com/web/vmware/info/slug/datacenter_cloud_infrastructure/vmware_vsphere/6_7 
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-esxi -67u2-release-notes.html

ESXi 6.5 
https://my.vmware.com/web/vmware/info/slug/datacenter_cloud_infrastructure/vmware_vsphere/6_5 
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/esxi650 -201903001.html

VMware Workstation Pro 14.1.6, 15.0.3

Descargas y documentación: 
https://www.vmware.com/go/downloadworkstation 
https://docs.vmware.com/en/VMware-Workstation-Pro/index.html

VMware Workstation Player 14.1.6, 15.0.3

Descargas y documentación: 
https://www.vmware.com/go/downloadplayer 
https://docs.vmware.com/en/VMware-Workstation-Player/index.html

VMware Fusion Pro / Fusion 10.1.6, 11.0.3

Descargas y documentación: 
https://www.vmware.com/go/downloadfusion 
https://docs.vmware.com/en/VMware-Fusion/index.html

Contáctenos

Para mayor información acerca de los productos VMware póngase en contacto con nosotros.

Escríbanos: ITsupport@ITtecture.com o solicite una DEMO 👉

Fuente: VMware

Te podría gustar ...