Se han publicado varias
vulnerabilidades de uso de memoria apilada no inicializada en VMware ESXi,
Workstation y Fusion que podrían permitir ejecutar código en el host o dar lugar
a una fuga de información entre el anfitrión y el invitado, catalogadas de Importancia: 5 - Crítica
Recursos
afectados:
- VMware vSphere ESXi versiones 6.7, 6.5 y 6.0
- VMware Workstation Pro / Player versiones 15.x y
14.x
- VMware Fusion Pro, Fusion versiones 11.x y 10.x
Recomendación
Reemplazar o aplicar el parche
correspondiente en función del producto y versión:
- Para VMware vSphere ESXi versión 6.7, aplicar el
ESXi670-201811401-BG
- Para VMware vSphere ESXi versión 6.5, aplicar el
ESXi650-201811301-BG
- Para VMware vSphere ESXi versión 6.0, aplicar el
ESXi600-201811401-BG
- VMware Workstation 15.x, aplicar el 15.0.1
- VMware Workstation 14.x, aplicar el 14.1.4
- VMware Fusion 11.x, aplicar el 10.1.1
- VMware Fusion 10.x, aplicar el 10.1.4
Detalle
de vulnerabilidades
Un uso de memoria de pila no
inicializada en el adaptador de red virtual vmxnet3 de los productos VMware
ESXi, Fusion y Workstation podría permitir que un invitado ejecute código en el
host. El problema está presente si vmxnet3 está habilitado. Los adaptadores
virtuales que no sean vmxnet3 no se verán afectados por este problema. Se ha
reservado el identificador CVE-2018-6981 para esta vulnerabilidad.
Un uso de memoria de pila no
inicializada en el adaptador de red virtual vmxnet3 de los productos VMware ESXi
podría dar lugar a una fuga de información entre el anfitrión y el invitado. El
problema está presente si vmxnet3 está habilitado. Los adaptadores virtuales
que no sean vmxnet3 no se verán afectados por este problema. Se ha reservado el
identificador CVE-2018-6982 para esta vulnerabilidad.
Más
información
- VMSA-2018-0027
VMware ESXi, Workstation, and Fusion updates address uninitialized stack
memory usage. https://www.vmware.com/security/advisories/VMSA-2018-0027.html
Fuente:INCIBE
