VMSA-2019-0012:越界像素着色器漏洞

critical Nessus 插件 ID 127807

简介

远程 VMware ESXi 主机缺少一个或多个与安全有关的修补程序。

描述

像素着色器漏洞 VMware ESXi、Workstation 和 Fusion 在像素着色器功能中含有越界读取/写入漏洞。要利用这些问题,攻击者需要对启用 3D 图形的虚拟机具有访问权限。其在 ESXi 上默认为停用,但在 Workstation 和 Fusion 上则默认为启用。成功恶意利用越界读取问题 (CVE-2019-5521) 可能会导致信息泄露,或是允许具有正常用户权限的攻击者在其主机上创建拒绝服务情形。越界写入问题 (CVE-2019-5684) 只有在主机含有受影响的 NVIDIA 图像驱动程序时才会遭到恶意利用。成功利用此问题可能导致主机上的代码执行。客户应该检查 NVIDIA 安全性公告以获得额外信息。

解决方案

安装缺失的修补程序。

另见

http://lists.vmware.com/pipermail/security-announce/2019/000464.html

插件详情

严重性: Critical

ID: 127807

文件名: vmware_VMSA-2019-0012.nasl

版本: 1.3

类型: local

发布时间: 2019/8/12

最近更新时间: 2020/1/2

支持的传感器: Nessus

风险信息

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: Critical

基本分数: 10

时间分数: 8.7

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:vmware:esxi:6.5, cpe:/o:vmware:esxi:6.7

必需的 KB 项: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

易利用性: No known exploits are available

补丁发布日期: 2019/8/2

漏洞发布日期: 2019/8/6

参考资料信息

CVE: CVE-2019-5521, CVE-2019-5684

VMSA: 2019-0012