VMware ESXi, vCenter Server Appliance, Workstation és Fusion biztonsági frissítések


2017. december 20. 09:34

CH azonosító

CH-14330

Angol cím

VMware ESXi, vCenter Server Appliance, Workstation and Fusion updates address multiple security vulnerabilities

Felfedezés dátuma

2017.12.18.

Súlyosság

Magas

Érintett rendszerek

VMware
VMware ESXi
VMware Fusion
Workstation
vCenter Server Appliance

Érintett verziók

VMWare Workstation 14.x
VMWare Workstation 12.x
VMWare Fusion 10.x
VMWare Fusion 8.x
VMWare ESXi 6.5
VMWare ESXi 6.0
VMWare ESXi 5.5
VMWare vCSA 6.5
VMWare vCSA 6.0
VMWare vCSA 5.5

Összefoglaló

A VMware ESXi, vCenter (vCSA), Workstation, Fusion termékeket érintő frissítések több magas biztonsági besorolású biztonsági rést érintenek.

Leírás

A VMware ESXi, Workstation és Fusion-ben javított biztonsági rés lehetővé teheti egy hitelesített VNC-munkamenetet használó támadó számára, hogy verem, vagy halom alapú túlcsordulást okozzon egy speciálisan megszerkesztett VNC-csomag segítségével. A hiba sikeres kihasználásával távoli kódfuttatást lehet végrehajtani egy virtuális gépen a hitelesített VNC-munkameneten keresztül.  Annak érdekében, hogy a hiba kihasználható legyen, az ESXi-ben, a VNC-t manuálisan kell engedélyezni egy virtuális gép .vmx konfigurációs fájljában. Ezenkívül az ESXi-t úgy kell beállítani, hogy engedélyezze a VNC forgalmat a beépített tűzfalon keresztül.

Az ESXi Host Client sérülékenysége cross-site scripting (XSS) támadást tesz lehetővé.

A VMware vCenter appliance (vCSA) ‘showlog’ pluginjának segítségével az alacsony jogosultsággal rendelkező felhasználók root jogosultságot szerezhetnek a készülék alap operációs rendszerén.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

A javítások letölthetők az alábbi linken: 

https://my.vmware.com/group/vmware/patch

A legújabb verziók letöltése az alábbi linkeken:

https://www.vmware.com/go/downloadfusion 

https://www.vmware.com/go/downloadplayer

https://www.vmware.com/go/downloadworkstation

https://my.vmware.com/web/vmware/details?downloadGroup=VC65U1D&productId=614&rPId=20189

Támadás típusa

Command Injection
Cross Site Scripting (XSS/CSS)
Memory Corruption
Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
execute arbitrary code

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.vmware.com
CVE-2017-4933 - NVD CVE-2017-4933
CVE-2017-4940 - NVD CVE-2017-4940
CVE-2017-4941 - NVD CVE-2017-4941
CVE-2017-4943 - NVD CVE-2017-4943

Legfrissebb sérülékenységek
CVE-2025-40602 – SonicWall SMA1000 Missing Authorization sérülékenysége
CVE-2025-59374 – ASUS Live Update Embedded Malicious Code sérülékenysége
CVE-2025-20393 – Cisco Multiple Products Improper Input Validation sérülékenysége
CVE-2025-58360 – OSGeo GeoServer Improper Restriction of XML External Entity Reference sérülékenysége
CVE-2018-4063 – Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
CVE-2025-14174 – Google Chromium Out of Bounds Memory Access sérülékenysége
CVE-2025-14611 – Gladinet CentreStack and Triofox Hard Coded Cryptographic sérülékenysége
CVE-2025-43529 – Apple Multiple Products Use-After-Free WebKit sérülékenysége
CVE-2025-21621 – GeoServer Reflected Cross-Site Scripting (XSS) sérülékenység
CVE-2025-64471 – Fortinet FortiWeb sérülékenysége
Tovább a sérülékenységekhez »