Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per prodotti VMware

VMware   venerdì, 17 maggio 2019

VMware ha rilasciato due avvisi di sicurezza relativi a vulnerabilità multiple in Workstation Pro/Player (Workstation), Fusion Pro, Fusion (Fusion), VMware vCenter Server (VC)
, VMware vSphere ESXi (ESXi)
 e in altri prodotti.

Il primo avviso riguarda una vulnerabilità di media gravità di tipo DLL hijacking (CVE-2019-5526) in VMware Workstation versioni precedenti alla 15.1.0.

Il secondo avviso riguarda una nuova categoria di vulnerabilità che consente attacchi side-channel alla cosiddetta “esecuzione speculativa” (speculative execution) nei processori Intel precedenti agli Intel® Xeon® Scalable Processors di 2a generazione (già noti come Cascade Lake). Queste vulnerabilità, note col nome collettivo di Microarchitectural Data Sampling (MDS), possono consentire ad un utente malevolo di eseguire codice in locale per ottenere informazioni che dovrebbero essere protette dai meccanismi architetturali della CPU.

Le categoria di vulnerabilità MDS comprende le seguenti quattro vulnerabilità:

  • CVE-2018-12126: Microarchitectural Store Buffer Data Sampling (MSBDS)
  • CVE-2018-12130: Microarchitectural Fill Buffer Data Sampling (MFBDS)
  • CVE-2018-12127: Microarchitectural Load Port Data Sampling (MLPDS)
  • CVE-2019-11091: Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

VMWare ha rilasciato patch e aggiornamenti specifici per i seguenti prodotti:

  • vCenter Server 6.7
  • vCenter Server1 6.5
  • vCenter Server 6.0
  • vCloud Usage Meter
  • Identity Manager
  • VMware Data protection 6.x
  • VMware Integrated Containers 1.x
  • vRealize Automation 7.x
  • vRealize Automation 6.x
  • ESXi 6.7
  • ESXi 6.5
  • ESXi 6.0
  • Workstation 15.x
  • Fusion 11.x

Per maggiori informazioni su queste vulnerabilità, sui prodotti affetti e sugli aggiornamenti disponibili è possibile consultare i seguenti avvisi di sicurezza di VMware (in Inglese):

Si consiglia inoltre di consultare le seguenti fonti esterne:

Notizie correlate

Vulnerabilità in VMware Tools e Workstation

10 giugno 2019

VMware ha rilasciato un avviso di sicurezza relativo a due vulnerabilità di gravità elevata nei prodotti VMware Tools per Windows e Workstation Pro/Player per Linux.Leggi tutto

Vulnerabilità in VMware ESXi, Workstation e Fusion

17 aprile 2019

VMware ha rilasciato un avviso di sicurezza relativo a tre vulnerabilità di gravità elevata nei prodotti ESXi, Workstation e Fusion.Leggi tutto

Aggiornamenti di sicurezza critici per prodotti VMware

1 aprile 2019

VMware ha rilasciato due avvisi di sicurezza relativi a vulnerabilità multiple, di cui alcune critiche, nei prodotti ESXi, Workstation, Fusion e vCD.Leggi tutto