1. 主页
  2. 保安警报
  3. 保安警报 (A20-06-02)

保安警报 (A20-06-02): VMware 产品多个漏洞


 

发布日期: 2020年 6月 2日

  
  

描述:

VMware 发布了一个安全公告,以应对 service opener 中 Time-of-check Time-of-use (TOCTOU) 问题、 shader 功能问题以及 VMCI 模组中一个记忆体泄漏的漏洞。

 

受影响的系统:

  • VMware ESXi 6.5 及 6.7
  • VMware Workstation 15.x 版本
  • VMware Fusion 11.x 版本
  • VMware Horizon Client (Mac) 5.x 及之前版本
  • VMware Remote Console (VMRC) (Mac) 11.x 及之前版本

 

影响:

若masOS系统安装了受影响的Fusion、VMRC以及Horizon Client版本,拥有普通用户权限的攻击者可利用这些漏洞提升至root权限。攻击者也可以在受影响的主机 (host) 上制造服务受阻断的状态。

 

建议:

产品供应商目前还未为 VMware Remote Console (VMRC) (Mac) 以及 VMware Horizon Client (Mac) 提供修补程式。用户应保护受影响的系统,防止未获授权用户接达,并且在修补程式发布后,立刻更新有关系统。至于其他受影响的产品, VMware 已在供应商的网站上发布了新版本以应对以上问题:

  • VMware ESXi 6.5, 6.7
    https://my.vmware.com/group/vmware/patch
  • VMware Fusion 11.5.5
    https://www.vmware.com/go/downloadfusion
  • VMware Workstation Pro 15.5.2
    https://www.vmware.com/go/downloadworkstation
  • VMware Workstation Player 15.5.2
    https://www.vmware.com/go/downloadplayer

系统管理员应遵从产品供应商的建议,立即采取行动以降低风险。

 

进一步信息:

https://www.vmware.com/security/advisories/VMSA-2020-0011.html
https://www.us-cert.gov/ncas/current-activity/2020/05/29/vmware-releases-security-updates-multiple-products
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3957 (to CVE-2020-3959)

 



标签 : VMware , ESXi , VMware Fusion , Horizon Client , VMware Remote Console , VMware Workstation
标签