VMSA-2020-0001
VMware Workspace ONE SDK and dependent mobile application updates address sensitive information disclosure vulnerability (CVE-2020-3940)
09 de enero del 2020
1. Productos impactados
- Workspace ONE SDK
- Workspace ONE Boxer
- Workspace ONE Content
- Workspace ONE SDK Plugin para Apache Cordova
- Workspace ONE Intelligent Hub
- Cuaderno de trabajo ONE
- Workspace ONE People
- Espacio de trabajo ONE PIV-D
- Workspace ONE Web
- Workspace ONE SDK Plugin para Xamarin
2. Introducción
Una vulnerabilidad de divulgación de información confidencial en VMware Workspace ONE SDK, fue informada de manera privada a VMware. Hay actualizaciones disponibles para abordar esta vulnerabilidad en los productos VMware afectados.
3. VMware Workspace ONE SDK y las actualizaciones de aplicaciones móviles dependientes, abordan la vulnerabilidad de divulgación de información confidencial (CVE-2020-3940)
Descripción:
VMware Workspace ONE SDK y las aplicaciones móviles dependientes, no manejan adecuadamente las fallas de verificación de certificados si se ha habilitado SSL Pinning en la consola de Workspace ONE UEM. VMware ha evaluado la gravedad de este problema para estar en el rango de gravedad moderada.
Vectores de ataque conocidos:
Un actor malicioso con posicionamiento de red man-in-the-middle (MITM) entre una aplicación móvil afectada y los Servicios de Dispositivo de Workspace ONE UEM, puede capturar datos confidenciales en tránsito si SSL Pinning está habilitado.
Resolución:
Para remediar CVE-2020-3940, aplique los parches enumerados en la columna ‘Versión Fija’ de la ‘Matriz de resolución’ que se encuentra a continuación.
Soluciones alternativas:
Ninguna.
Documentaciones adicionales:
Ninguna.
Matriz de respuesta:
4. Referencias
Versión (es) fija (s) y notas de lanzamiento:
Workspace ONE SDK para Android
Workspace ONE SDK para iOS (Objective-C)
Workspace ONE Boxer para Android
Workspace ONE Content para Android
Contenido de Workspace ONE para iOS
Workspace ONE SDK Plugin para Apache Cordova
Workspace ONE Intelligent Hub para Android
Cuaderno Workspace ONE para Android
Workspace ONE People para Android
https://kb.vmware.com/s/article/76713
Workspace ONE PIV-D para Android
Workspace ONE Web para Android
Workspace ONE SDK Plugin para Xamarin
VMSA-2020-0002
VMware Tools workaround addresses a local privilege escalation vulnerability (CVE-2020-3941)
14 de enero del 2020
1. Productos impactados
- VMware Tools para Windows (VMware Tools)
2. Introducción
Se ha determinado que una vulnerabilidad en VMware Tools en una funcionalidad que se eliminó de VMware Tools 11.0.0, afecta a VMware Tools para Windows versión 10.xy Hay soluciones alternativas disponibles para abordar esta vulnerabilidad en las versiones afectadas de VMware Tools.
3. Soluciones alternativas de VMware Tools para solucionar una vulnerabilidad de escalada de privilegios locales (CVE-2020-3941)
Descripción:
La operación de reparación de VMware Tools para Windows tiene una condición de carrera. VMware ha evaluado la gravedad de este problema para estar en el rango de gravedad importante.
Vectores de ataque conocidos:
Un actor malicioso en la máquina virtual invitada podría explotar la condición de carrera y escalar sus privilegios en una máquina virtual de Windows. Este problema afecta a VMware Tools para Windows versión 10.xy ya que la funcionalidad afectada no está presente en VMware Tools 11.
Resolución:
Para remediar CVE-2020-3941, actualice a VMware Tools versión 11.0 o posterior.
Soluciones alternativas:
Se ha documentado una solución alternativa para CVE-2020-3941 en el artículo de la base de conocimiento de VMware que figura en la columna «Soluciones» de la «Matriz de Respuesta», a continuación.
Documentaciones adicionales:
Ninguna.
Matriz de respuesta:
* En caso de que esté utilizando la función de descubrimiento de servicios nativos en vRealize Operations Manager 8.0, o el paquete de administración de descubrimiento de vRealize Operations Service con versiones anteriores de vRealize Operations Manager (7.x o anterior), le recomendamos actualizar a VMware Tools 11.0.1 o 11.0.5.
4. Referencias
Versión (es) fija (s) y notas de lanzamiento:
https://docs.vmware.com/en/VMware-Tools/11.0/rn/VMware-Tools-1105-Release-Notes.html
Soluciones alternativas:
