fbpx

VMware Security Advisories – Enero 2020

VMware Security Advisories – Enero 2020

VMSA-2020-0001

VMware Workspace ONE SDK and dependent mobile application updates address sensitive information disclosure vulnerability (CVE-2020-3940)

09 de enero del 2020

1. Productos impactados
  • Workspace ONE SDK
  • Workspace ONE Boxer
  • Workspace ONE Content
  • Workspace ONE SDK Plugin para Apache Cordova
  • Workspace ONE Intelligent Hub
  • Cuaderno de trabajo ONE
  • Workspace ONE People
  • Espacio de trabajo ONE PIV-D
  • Workspace ONE Web
  • Workspace ONE SDK Plugin para Xamarin
2. Introducción

Una vulnerabilidad de divulgación de información confidencial en VMware Workspace ONE SDK, fue informada de manera privada a VMware. Hay actualizaciones disponibles para abordar esta vulnerabilidad en los productos VMware afectados.

3. VMware Workspace ONE SDK y las actualizaciones de aplicaciones móviles dependientes, abordan la vulnerabilidad de divulgación de información confidencial (CVE-2020-3940)

Descripción:

VMware Workspace ONE SDK y las aplicaciones móviles dependientes, no manejan adecuadamente las fallas de verificación de certificados si se ha habilitado SSL Pinning en la consola de Workspace ONE UEM. VMware ha evaluado la gravedad de este problema para estar en el  rango de gravedad moderada.

Vectores de ataque conocidos:

Un actor malicioso con posicionamiento de red man-in-the-middle (MITM) entre una aplicación móvil afectada y los Servicios de Dispositivo de Workspace ONE UEM, puede capturar datos confidenciales en tránsito si SSL Pinning está habilitado.

Resolución:

Para remediar CVE-2020-3940, aplique los parches enumerados en la columna ‘Versión Fija’ de la ‘Matriz de resolución’ que se encuentra a continuación.

Soluciones alternativas:

Ninguna.

Documentaciones adicionales:

Ninguna.

Matriz de respuesta:

4. Referencias

Versión (es) fija (s) y notas de lanzamiento:

Workspace ONE SDK para Android

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/rn/VMware-Workspace-ONE-SDK-for-Android.html

Workspace ONE SDK para iOS (Objective-C)

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/rn/VMware-Workspace-ONE-SDK-for-iOS–Objective-C-.html

Workspace ONE Boxer para Android

https://docs.vmware.com/en/VMware-Workspace-ONE-Boxer/services/rn/VMware-Workspace-ONE-Boxer-for-Android.html

Workspace ONE Content para Android

https://docs.vmware.com/en/VMware-Workspace-ONE-Content/services/rn/Workpace-ONE-Content-for-Android.html

Contenido de Workspace ONE para iOS

https://docs.vmware.com/en/VMware-Workspace-ONE-Content/services/rn/Workspace-ONE-Content-for-iOS.html

Workspace ONE SDK Plugin para Apache Cordova

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/rn/VMware-Workspace-ONE-SDK-Plugin-for-Apache-Cordova.html

Workspace ONE Intelligent Hub para Android

https://docs.vmware.com/en/VMware-Workspace-ONE-Intelligent-Hub/services/rn/Introducing-VMware-Workspace-ONE-Intelligent-Hub-1909-for-Android.html

Cuaderno Workspace ONE para Android

https://docs.vmware.com/en/VMware-Workspace-ONE-Notebook/services/rn/VMware-Workspace-ONE-Notebook-for-Android.html

Workspace ONE People para Android

https://kb.vmware.com/s/article/76713

Workspace ONE PIV-D para Android

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/rn/VMware-Workspace-ONE-PIV-D-Manager-for-Android.html

Workspace ONE Web para Android

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/rn/VMware-Workspace-ONE-Web-for-Android.html

Workspace ONE SDK Plugin para Xamarin

https://docs.vmware.com/en/VMware-Workspace-ONE-UEM/services/rn/VMware-Workspace-ONE-SDK-Plugin-for-Xamarin.html

VMSA-2020-0002

VMware Tools workaround addresses a local privilege escalation vulnerability (CVE-2020-3941)

14 de enero del 2020

1. Productos impactados

  • VMware Tools para Windows (VMware Tools)

2. Introducción

Se ha determinado que una vulnerabilidad en VMware Tools en una funcionalidad que se eliminó de VMware Tools 11.0.0, afecta a VMware Tools para Windows versión 10.xy Hay soluciones alternativas disponibles para abordar esta vulnerabilidad en las versiones afectadas de VMware Tools.

3. Soluciones alternativas de VMware Tools para solucionar una vulnerabilidad de escalada de privilegios locales (CVE-2020-3941)

Descripción:

La operación de reparación de VMware Tools para Windows tiene una condición de carrera. VMware ha evaluado la gravedad de este problema para estar en el rango de gravedad importante.

Vectores de ataque conocidos:

Un actor malicioso en la máquina virtual invitada podría explotar la condición de carrera y escalar sus privilegios en una máquina virtual de Windows. Este problema afecta a VMware Tools para Windows versión 10.xy ya que la funcionalidad afectada no está presente en VMware Tools 11.

Resolución:

Para remediar CVE-2020-3941, actualice a VMware Tools versión 11.0 o posterior.

Soluciones alternativas:

Se ha documentado una solución alternativa para CVE-2020-3941 en el artículo de la base de conocimiento de VMware que figura en la columna “Soluciones” de la “Matriz de Respuesta”, a continuación.

Documentaciones adicionales:

Ninguna.

Matriz de respuesta:

* En caso de que esté utilizando la función de descubrimiento de servicios nativos en vRealize Operations Manager 8.0, o el paquete de administración de descubrimiento de vRealize Operations Service con versiones anteriores de vRealize Operations Manager (7.x o anterior), le recomendamos actualizar a VMware Tools 11.0.1 o 11.0.5.

4. Referencias

Versión (es) fija (s) y notas de lanzamiento:
https://docs.vmware.com/en/VMware-Tools/11.0/rn/VMware-Tools-1105-Release-Notes.html

Soluciones alternativas:

https://kb.vmware.com/s/article/76654

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *