VMSA-2019-0006:VMware ESXi、Workstation 和 Fusion 更新解决多个越界读取漏洞
medium Nessus 插件 ID 124192
语言:
简介
远程 VMware ESXi 主机缺少一个或多个与安全有关的修补程序。描述
a. VMware ESXi、Workstation 和 Fusion vertex shader 越界读取漏洞 VMware ESXi、Workstation 和 Fusion 更新解决 vertex shader 功能的越界漏洞。要利用这些问题,攻击者需要对启用 3D 图形的虚拟机具有访问权限。成功恶意利用此问题可能会导致信息泄露,或是允许具有正常用户权力的攻击者在其 VM 上创建拒绝服务情形。此问题的变通方案为停用 3D 加速功能。此功能在 ESXi 上默认为停用,但在 Workstation 和 Fusion 上则默认为启用。VMware 在此感谢 Cisco Talos 的 Piotr Bania 向我们报告此问题。Common Vulnerabilities and Exposures 计划 (cve.mitre.org) 已为这些问题分配标识符 CVE-2019-5516。b. VMware ESXi、Workstation 和 Fusion 多个 shader 翻译器越界读取漏洞 VMware ESXi、Workstation 和 Fusion 的 shader 翻译器中包含多个越界读取漏洞。要利用这些问题,攻击者需要对启用 3D 图形的虚拟机具有访问权限。成功恶意利用这些问题可能会导致信息泄露,或是允许具有正常用户权力的攻击者在其 VM 上创建拒绝服务情形。这些问题的变通方案为停用 3D 加速功能。此功能在 ESXi 上默认为停用,但在 Workstation 和 Fusion 上则默认为启用。VMware 在此感谢 Tencent Security ZhanluLab 的 RanchoIce 向我们报告这些问题。Common Vulnerabilities and Exposures 计划 (cve.mitre.org) 已为这些问题分配标识符 CVE-2019-5517。c. VMware ESXi、Workstation 和 Fusion 越界读取漏洞 VMware ESXi、Workstation 和 Fusion 更新解决一个越界读取漏洞。要利用这些问题,攻击者需要对启用 3D 图形的虚拟机具有访问权限。成功恶意利用此问题可能会导致信息泄露。此问题的变通方案为停用 3D 加速功能。此功能在 ESXi 上默认为停用,但在 Workstation 和 Fusion 上则默认为启用。VMware 在此感谢指导员 与 Trend Micro 的 Zero Day Initiative 一起合作,向我们报告此问题。Common Vulnerabilities and Exposures 计划 (cve.mitre.org) 已为此问题分配标识符 CVE-2019-5520。解决方案
安装缺失的修补程序。另见
http://lists.vmware.com/pipermail/security-announce/2019/000455.html
插件详情
严重性: Medium
ID: 124192
文件名: vmware_VMSA-2019-0006.nasl
版本: 1.2
类型: local
发布时间: 2019/4/19
最近更新时间: 2020/1/23
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.2
CVSS v2
风险因素: Medium
基本分数: 5.8
时间分数: 4.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:P
CVSS v3
风险因素: Medium
基本分数: 6.8
时间分数: 5.9
矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:vmware:esxi:6.5, cpe:/o:vmware:esxi:6.7
必需的 KB 项: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version
易利用性: No known exploits are available
补丁发布日期: 2019/4/11
漏洞发布日期: 2019/4/15
参考资料信息
CVE: CVE-2019-5516, CVE-2019-5517, CVE-2019-5520
VMSA: 2019-0006