2017-1631: VMware ESXi, Fusion, Workstation Pro und Player, VMware vCenter Server: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2017-09-15 14:46)
- Neues Advisory
- Version 2 (2017-09-19 12:34)
- VMware aktualisiert seine Sicherheitsmeldung und gibt bekannt, dass die Schwachstelle CVE-2017-4926 ebenfalls die Plattformen Apple Mac OS X und MacOS Sierra sowie VMware ESXi betrifft.
Betroffene Software
Netzwerk
Systemsoftware
Virtualisierung
Betroffene Plattformen
Apple
Microsoft
VMware
Beschreibung:
Zwei Schwachstellen in VMware ESXi, Workstation Pro / Player auf allen Plattformen und Fusion Pro, Fusion auf Mac OS X ermöglichen einem einfach authentifizierten Angreifer im benachbarten Netzwerk die Ausführung beliebigen Programmcodes (CVE-2017-4924) sowie einen Denial-of-Service (DoS)-Angriff (CVE-2017-4925). VMware ESXi 5.5 und 6.0 sind von der Schwachstelle CVE-2017-4924 nicht betroffen. Eine weitere Schwachstelle in vCenter Server 6.5 ermöglicht einem solchen Angreifer die Durchführung eines dauerhaften Cross-Site-Scripting (XSS)-Angriffs (CVE-2017-4926).
Der Hersteller VMware stellt die Releases VMware Workstation Pro und Player 12.5.8, VMware Fusion Pro, Fusion 8.5.8 sowie die Patches 6.5 Patch ESXi650-201707101-SG, 6.0 Patch ESXi600-201706101-SG und 5.5 Patch ESXi550-201709101-SG für VMware ESXi als Sicherheitsupdates bereit. Die Schwachstelle CVE-2017-4925 gilt bereits mit den Releases VMware Workstation Pro und Player 12.5.3 sowie VMware Fusion Pro, Fusion 8.5.4 als behoben. Ferner informiert VMware, dass vCenter Server nur in der Version 6.5 auf Windows von der Schwachstelle CVE-2017-4926 betroffen ist und hat mit der Version 6.5 U1 ein Sicherheitsupdate zur Verfügung gestellt.
Schwachstellen:
CVE-2017-4924
Schwachstelle in VMware ESXi, Workstation und Fusion SVGA-Treiber ermöglicht Ausführung beliebigen ProgrammcodesCVE-2017-4925
Schwachstelle in VMware ESXi, Workstation und Fusion ermöglicht Denial-of-Service-AngriffCVE-2017-4926
Schwachstelle in vCenter Server ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.