VMSA-2019-0012
1. Productos impactados
- VMware vSphere ESXi (ESXi)
- VMware Workstation Pro / Player (estación de trabajo)
- VMware Fusion Pro / Fusion (Fusion)
2. Introducción
Las actualizaciones de VMware ESXi, Workstation y Fusion abordan las siguientes vulnerabilidades del sombreador de píxeles:
- CVE-2019-5521 – Vulnerabilidad de lectura fuera de límites – CVSSv3 = 6.3-7.7
- CVE-2019-5684 – Vulnerabilidad de escritura fuera de límites – CVSSv3 = 8.5
3. VMware ESXi, Workstation y Fusion. Vulnerabilidad de lectura / escritura fuera de los límites del sombreador de pixeles (CVE-2019-5521, CVE-2019-5684)
Descripción:
VMware ESXi, Workstation y Fusion contienen vulnerabilidades de lectura / escritura fuera de los límites en la funcionalidad del sombreador de píxeles. VMware ha evaluado la gravedad de estos problemas para estar en el rango de gravedad importante.
Vectores de ataque conocidos:
La explotación de estos problemas requiere que un atacante tenga acceso a una máquina virtual con gráficos 3D habilitados. No está habilitado de forma predeterminada en ESXi, y está habilitado de forma predeterminada en Workstation y Fusion.
La explotación exitosa del problema de lectura fuera de límites (CVE-2019-5521) puede conducir a la divulgación de información, o puede permitir a los atacantes con privilegios normales de usuario crear una condición de denegación de servicio en el host.
El problema de escritura fuera de los límites (CVE-2019-5684) solo puede explotarse si el host tiene un controlador de gráficos NVIDIA afectado. La explotación exitosa de este problema puede conducir a la ejecución de código en el host. Los clientes deben consultar el aviso de seguridad de NVIDIA para obtener información adicional.
Resolución:
- Para remediar estas vulnerabilidades, aplique los parches enumerados en la columna ‘Versión fija’ de la ‘Matriz de resolución’ que se encuentra a continuación.
- Alternativamente, CVE-2019-5684 puede remediarse instalando el controlador de gráficos NVIDIA actualizado.
Soluciones alternativas:
La solución para estos problemas implica deshabilitar la función de aceleración 3D. Consulte la columna ‘Soluciones’ de la ‘Matriz de resolución’ que se encuentra a continuación.
Matriz de respuesta:
* CVE-2019-5684 es relevante si hay un controlador de gráficos NVIDIA afectado.
4. Referencias
Enlace de aviso de seguridad de NIVDIA:
https://nvidia.custhelp.com/app/answers/detail/a_id/4841
Versión (es) fija (s) y notas de lanzamiento:
ESXi 6.7
Descargas y documentación:
https://my.vmware.com/web/vmware/info/slug/datacenter_cloud_infrastructure/vmware_vsphere/6_7
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-esxi -67u2-release-notes.html
ESXi 6.5
https://my.vmware.com/web/vmware/info/slug/datacenter_cloud_infrastructure/vmware_vsphere/6_5
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/esxi650 -201903001.html
VMware Workstation Pro 14.1.6, 15.0.3
Descargas y documentación:
https://www.vmware.com/go/downloadworkstation
https://docs.vmware.com/en/VMware-Workstation-Pro/index.html
VMware Workstation Player 14.1.6, 15.0.3
Descargas y documentación:
https://www.vmware.com/go/downloadplayer
https://docs.vmware.com/en/VMware-Workstation-Player/index.html
VMware Fusion Pro / Fusion 10.1.6, 11.0.3
Descargas y documentación:
https://www.vmware.com/go/downloadfusion
https://docs.vmware.com/en/VMware-Fusion/index.html
Contáctenos
Para mayor información acerca de los productos VMware póngase en contacto con nosotros.
Escríbanos: ITsupport@ITtecture.com o solicite una DEMO ?
Fuente: VMware