VMWARE. Vulnerabilidades en múltiples de sus productos

WMWare soluciona múltiples vulnerabilidades que afectan a VMware vCenter Server, ESXi, Workstation, Player y Fusion., catalogados de Importancia: 4 - Alta

Recursos afectados

Los siguientes productos VMWare están afectados:

1. VMware Workstation 10.x anterior a versión 10.0.5
2. VMware Player 6.x anterior a versión 6.0.5
3. VMware Fusion 7.x anterior a versión 7.0.1
4. VMware Fusion 6.x anterior a versión 6.0.5
5. vCenter Server 5.5 anterior a actualización 2d
6. ESXi 5.5 sin parches ESXi550-201403102-SG, ESXi550-201501101-SG
7. ESXi 5.1 sin parches ESXi510-201404101-SG
8. ESXi 5.0 sin parches ESXi500-201405101-SG

Detalle e impacto de las vulnerabilidades

1. Escalada de privilegios en el host en VMware ESXi, Workstation, Player y Fusion.-  Esta vulnerabilidad debida a una escritura arbitraria de fichero permite escalar privilegios en el sistma host, pero no permite escalada de privilegios desde sistema operativo invitado a host o viceversa
2. Denegación de servicio en VMware Workstation, Player y Fusion.-  Un problema de validación de entrada en el sistema de ficheros del invitado (HGFS), permite causar una denegación de servicio en el sistema invitado. Esta vulnerabilidad tiene reservado el CVE-2014-8370.
3. Denegación de servicio en VMware ESXi, Workstation y Player.-  Un fallo en la validación de entrada del proceso VMware Authorization process (vmware-authd), puede causar una denegación de servicio en el sitema host. Esta denegación será parcial en sistemas ESXi y Workstation ejecutando Linux. Esta vulnerabilidad tiene reservado el CVE-2015-1044.
4. Actualización openssl para VMware vCenter Server y ESXi.-  La actualización corrige las vulnerabilidades descritas en los CVE-2014-3513, CVE-2014-3567, CVE-2014-3566 (“POODLE”) y CVE-2014-3568
5. Actualización de libxml2 en ESXi.- Este parche corrige un problema de seguridad que puede provocar una denegación de servicio al procesar un fichero XML manipulado. Esta vulnerabilidad esta descrita en el CVE-2014-3660.

Recomendación

 Aplicar los parches siguientes según corresponda:

• VMware Workstation 10.x: https://www.vmware.com/go/downloadworkstation
• VMware Player 6.x: https://www.vmware.com/go/downloadplayer
• VMware Fusion 7.x and 6.x: https://www.vmware.com/go/downloadplayer
• vCenter Server: Descarga e información: https://www.vmware.com/go/download-vsphere
• ESXi 5.5 Update 2d: Aplicar update-from-esxi5.5-5.5_update01.zip. http://kb.vmware.com/kb/2065832
• ESXi 5.5. Aplicar ESXi550-201501001.zip. http://kb.vmware.com/kb/2099265
• ESXi 5.1: Aplicar ESXi510-201404001.zip. http://kb.vmware.com/kb/2070666

Más información

• VMware Security Advisories. VMSA-2015-0001 https://www.vmware.com/security/advisories/VMSA-2015-0001.html

Fuente: INCIBE