2018-0276: VMware Virtual Appliances: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen
Historie:
- Version 1 (2018-02-12 12:05)
- Neues Advisory
- Version 2 (2018-02-16 12:15)
- VMware hat die aktualisierte Sicherheitsmeldung VMSA-2018-0007.1 veröffentlicht und informiert darüber auch in einem Blog-Beitrag, um klarzustellen, welche der Angriffsvarianten durch die derzeit verfügbaren Sicherheitsupdates mitigiert werden. CVE-2017-5715 (Spectre-2) wurde durch diese noch nicht adressiert und deshalb entfernt, während Mitigationen für die von einigen als besonders schwerwiegend und ausnutzbar angesehene Schwachstelle CVE-2017-5754 (Meltdown) sowie CVE-2017-5753 (Spectre-1) bereits enthalten sind, weshalb die Installation der aktuellen Sicherheitsupdates empfohlen wird.
- Version 3 (2018-05-08 13:15)
- Der Hersteller informiert mit der aktualisierten Sicherheitsmeldung VMSA-2018-0007.3 über das Release von vSphere Data Protection (VDP) 6.1.8 zur Behebung der Schwachstellen.
- Version 4 (2018-06-07 14:47)
- Der Hersteller informiert mit der aktualisierten Sicherheitsmeldung VMSA-2018-0007.4 über das Release von vCenter Server (vCSA) 6.5 U2a zur Behebung der Schwachstelle CVE-2017-5715.
- Version 5 (2019-02-19 12:43)
- Der Hersteller informiert mit der aktualisierten Sicherheitsmeldung VMSA-2018-0007.6 darüber, dass mit dem Release von vCenter Server (vCSA) 6.0u3g die drei Schwachstellen am 12. Juli 2018 behoben wurden.
Betroffene Software
Datensicherung
Netzwerk
Virtualisierung
Betroffene Plattformen
VMware
Virtualisierung
Beschreibung:
Die als 'Spectre' und 'Meltdown' bekannten Schwachstellen CVE-2017-5715, CVE-2017-5753 und CVE-2017-5754 betreffen auch eine Reihe von VMware Produkten, unter anderem vCenter Server (vCSA) und vSphere Data Protection (VDP). Ein nicht authentisierter Angreifer im benachbarten Netzwerk, beispielsweise als Benutzer einer virtuellen Maschine, kann die Schwachstellen laut Hersteller ausnutzen, um Informationen aus anderen virtuellen Maschinen auf demselben Host auszuspähen und dadurch weitere Angriffe durchzuführen.
Die Schwachstellen betreffen unter anderem vCenter Server (vCSA) 6.0 und 6.5 und vSphere Data Protection (VDP) 6.x. Bislang stellt der Hersteller für diese noch keine Sicherheitsupdates bereit. Für vCenter Server wird auf eine Mitigation / Workaround verwiesenen (siehe 'vCenter Server Appliance (and PSC) 6.5 / 6.0 Workaround for CVE-2017-5753, CVE-2017-5715, CVE-2017-5754 (aka Spectre and Meltdown) (52312)'), während für vSphere Data Protection keine Abwehrmaßnahmen beschrieben werden, bis ein Patch in Zukunft zur Verfügung gestellt werden soll. Einen Zeithorizont für die Patches hat der Hersteller ebenfalls noch nicht genannt.
Schwachstellen:
CVE-2017-5715
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2017-5753
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von InformationenCVE-2017-5754
Schwachstelle in Implementierung der spekulativen Instruktionsausführung für Mikroprozessoren ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.