WMWare soluciona múltiples vulnerabilidades que afectan a VMware vCenter Server, ESXi, Workstation, Player y Fusion., catalogados de Importancia: 4 – Alta

Recursos afectados

Los siguientes productos VMWare están afectados:

  • VMware Workstation 10.x anterior a versión 10.0.5
  • VMware Player 6.x anterior a versión 6.0.5
  • VMware Fusion 7.x anterior a versión 7.0.1
  • VMware Fusion 6.x anterior a versión 6.0.5
  • vCenter Server 5.5 anterior a actualización 2d
  • ESXi 5.5 sin parches ESXi550-201403102-SG, ESXi550-201501101-SG
  • ESXi 5.1 sin parches ESXi510-201404101-SG
  • ESXi 5.0 sin parches ESXi500-201405101-SG

Detalle e impacto de las vulnerabilidades

  1. Escalada de privilegios en el host en VMware ESXi, Workstation, Player y Fusion.- Esta vulnerabilidad debida a una escritura arbitraria de fichero permite escalar privilegios en el sistma host, pero no permite escalada de privilegios desde sistema operativo invitado a host o viceversa
  2. Denegación de servicio en VMware Workstation, Player y Fusion.- Un problema de validación de entrada en el sistema de ficheros del invitado (HGFS), permite causar una denegación de servicio en el sistema invitado. Esta vulnerabilidad tiene reservado el CVE-2014-8370.
  3. Denegación de servicio en VMware ESXi, Workstation y Player.- Un fallo en la validación de entrada del proceso VMware Authorization process (vmware-authd), puede causar una denegación de servicio en el sitema host. Esta denegación será parcial en sistemas ESXi y Workstation ejecutando Linux. Esta vulnerabilidad tiene reservado el CVE-2015-1044.
  4. Actualización openssl para VMware vCenter Server y ESXi.- La actualización corrige las vulnerabilidades descritas en los CVE-2014-3513, CVE-2014-3567, CVE-2014-3566 (“POODLE”) y CVE-2014-3568
  5. Actualización de libxml2 en ESXi.- Este parche corrige un problema de seguridad que puede provocar una denegación de servicio al procesar un fichero XML manipulado. Esta vulnerabilidad esta descrita en el CVE-2014-3660.

Recomendación

Aplicar los parches siguientes según corresponda:

Más información

Fuente: INCIBE