VMware ออก Patch อุดช่องโหว่บน VMware vCloud Director, ESXi, Workstation และ Fusion

VMware ได้ออก Patch สำหรับอุดช่องโหว่ระดับ Critical บน VMware vCloud Director นอกจากนี้ยังออก Patch สำหรับ VMware ESXi, Workstation และ Fusion ในระดับ Critical และ Important Severity แนะผู้ดูแลระบบควรอัพเดตทันที

Credit: alexmillos/ShutterStock

ช่องโหว่ VMSA-2019-0004 เป็นช่องโหว่ระดับ Critical ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถทำ Remote Session Hijack เพื่อขโมย Logged in session ที่กำลังใช้งานอยู่บน VMware vCloud Director ได้ โดย vCloud Director for Service Providers เวอร์ชัน 9.5.x จะได้รับผลกระทบทั้งหมด สามารถอัพเดตไปที่เวอร์ชัน 9.5.0.3 เพื่ออุดช่องโหว่ได้ทันที ส่วน vCloud Director เวอร์ชัน 9.7.x นั้น ไม่ได้รับผลกระทบจากช่องโหว่นี้

นอกจากนี้ VMware ยังออก Patch เพื่ออุดช่องโหว่ VMSA-2019-0005 ระดับ Critical และ Important สำหรับ VMware ESXi, Workstation และ Fusion ที่นักวิจัยทางด้านความปลอดภัยพบในงาน Pwn2Own 2019 อีกด้วย สำหรับ ESXi เวอร์ชัน 6.0, 6.5 และ 6.7 ได้รับผลกระทบทั้งหมด โดยมีรายละเอียดดังนี้

  • CVE-2019-5518 ช่องโหว่ชนิด out-of-bounds read/write และ CVE-2019-5519 ช่องโหว่ชนิด Time-of-check Time-of-use (TOCTOU) ซึ่งเป็นการโจมตีผ่าน USB 1.1 UHCI (Universal Host Controller Interface) จนทำให้ Guest สามารถรันคำสั่งบนเครื่อง Host ได้
  • CVE-2019-5524 ช่องโหว่ชนิด Out-of-bounds write ที่เกิดจาก e1000 virtual network adapter ทำให้ Guest สามารถรันคำสั่งบนเครื่อง Host ได้
  • CVE-2019-5515 ช่องโหว่ชนิด Out-of-bounds write บน e1000 และ e1000e virtual network adapter ที่ทำให้สามารถทำ denial of service บน guest ได้
  • CVE-2019-5514 ช่องโหว่ใน VMware Fusion ทำให้ผู้ไม่ประสงค์ดีสามารถรันคำสั่งบนเครื่อง Guest ที่ติดตั้ง VMware Tools ผ่านทาง API ได้ โดยที่ไม่ต้องทำการยืนยันตัวตน

ที่มา: https://blogs.vmware.com/security/2019/03/new-vmware-security-advisories-vmsa-2019-0004-vmsa-2019-0005.html


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

[Guest Post] บรรยากาศงานสัมมนา The SAP S/4HANA Movement

จบกันไปแล้วกับงาน The SAP S/4HANA Movement อีกหนึ่งงานสัมมนาที่ทางทีมงาน ISS Consulting ร่วมกับ SAP Thailand จัดขึ้นเพื่อให้ผู้บริหารจากองค์กรธุรกิจต่างๆ ที่ปัจจุบันใช้ระบบ ERP ของ SAP เวอร์ชั่นตั้งแต่ ECC6 ลงมา ได้มารับฟังถึงแนวทางการปรับเปลี่ยนระบบ ERP จากเดิมไปสู่ SAP S/4HANA เพื่อเตรียมความพร้อมที่จะเข้าสู่การเป็น Digital Business ที่สามารถนำข้อมูลธุรกิจมาใช้งาน วิเคราะห์ และต่อยอดได้อย่างรวดเร็วคล่องตัว

NEXUS เชิญร่วมสัมมนาฟรี “Digitizing Intelligent Omni-Channel for your Retail Business” อาวุธลับความสำเร็จของธุรกิจค้าปลีกในรูปแบบใหม่

บริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อเพิ่มศักยภาพธุรกิจ ร่วมกับ SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 และ DELL EMC ผู้ให้บริการฮาร์ดแวร์ ชั้นนำของโลก ขอเรียนเชิญผู้บริหาร ทีมไอที และผู้ที่สนใจเข้าร่วมงานสัมมนา "Digitizing Intelligent Omni-Channel for your Retail Business" เพื่อเรียนรู้แนวทางการประยุกต์ใช้เทคโนโลยีต่างๆ มาเปลี่ยนให้ธุรกิจค้าปลีกของคุณก้าวสู่การเป็น Omni-Channel และ Online-to-Offline (O2O) ได้อย่างเต็มตัว ในวันที่ 30 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้