VMware ออก Patch อุดช่องโหว่บน VMware vCloud Director, ESXi, Workstation และ Fusion

VMware ได้ออก Patch สำหรับอุดช่องโหว่ระดับ Critical บน VMware vCloud Director นอกจากนี้ยังออก Patch สำหรับ VMware ESXi, Workstation และ Fusion ในระดับ Critical และ Important Severity แนะผู้ดูแลระบบควรอัพเดตทันที

Credit: alexmillos/ShutterStock

ช่องโหว่ VMSA-2019-0004 เป็นช่องโหว่ระดับ Critical ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถทำ Remote Session Hijack เพื่อขโมย Logged in session ที่กำลังใช้งานอยู่บน VMware vCloud Director ได้ โดย vCloud Director for Service Providers เวอร์ชัน 9.5.x จะได้รับผลกระทบทั้งหมด สามารถอัพเดตไปที่เวอร์ชัน 9.5.0.3 เพื่ออุดช่องโหว่ได้ทันที ส่วน vCloud Director เวอร์ชัน 9.7.x นั้น ไม่ได้รับผลกระทบจากช่องโหว่นี้

นอกจากนี้ VMware ยังออก Patch เพื่ออุดช่องโหว่ VMSA-2019-0005 ระดับ Critical และ Important สำหรับ VMware ESXi, Workstation และ Fusion ที่นักวิจัยทางด้านความปลอดภัยพบในงาน Pwn2Own 2019 อีกด้วย สำหรับ ESXi เวอร์ชัน 6.0, 6.5 และ 6.7 ได้รับผลกระทบทั้งหมด โดยมีรายละเอียดดังนี้

  • CVE-2019-5518 ช่องโหว่ชนิด out-of-bounds read/write และ CVE-2019-5519 ช่องโหว่ชนิด Time-of-check Time-of-use (TOCTOU) ซึ่งเป็นการโจมตีผ่าน USB 1.1 UHCI (Universal Host Controller Interface) จนทำให้ Guest สามารถรันคำสั่งบนเครื่อง Host ได้
  • CVE-2019-5524 ช่องโหว่ชนิด Out-of-bounds write ที่เกิดจาก e1000 virtual network adapter ทำให้ Guest สามารถรันคำสั่งบนเครื่อง Host ได้
  • CVE-2019-5515 ช่องโหว่ชนิด Out-of-bounds write บน e1000 และ e1000e virtual network adapter ที่ทำให้สามารถทำ denial of service บน guest ได้
  • CVE-2019-5514 ช่องโหว่ใน VMware Fusion ทำให้ผู้ไม่ประสงค์ดีสามารถรันคำสั่งบนเครื่อง Guest ที่ติดตั้ง VMware Tools ผ่านทาง API ได้ โดยที่ไม่ต้องทำการยืนยันตัวตน

ที่มา: https://blogs.vmware.com/security/2019/03/new-vmware-security-advisories-vmsa-2019-0004-vmsa-2019-0005.html


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

NEXUS เชิญร่วมสัมมนาพิเศษ SAP S/4HANA สำหรับกลุ่มธุรกิจ Food and Beverage และ High Tech ในวันที่ 28 พ.ค. 2019

พลาดไม่ได้!! งานสัมมนาพิเศษสำหรับผู้บริหารประจำปี 2019 โดย SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 ของโลก ได้จัดร่วมกับบริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อพัฒนา และเพิ่มประสิทธิภาพธุรกิจ โดยในงานสัมมนาครั้งนี้จะเน้นย้ำเกี่ยวกับโซลูชั่นและแนวทางใหม่ในการแก้ปัญหาการดำเนินธุรกิจ และเพิ่มประสิทธิภาพในการบริหารงานของกลุ่มธุรกิจ Food, Beverage และ High Tech ให้เจริญเติบโตในยุคดิจิตอลได้รวดเร็วมากยิ่งขึ้น ด้วยโซลูชั่นที่ได้รับความนิยมสูงสุดจากธุรกิจทั่วโลก โดยมีรายละเอียด และสามารถลงทะเบียนเข้าร่วมงานฟรีได้ที่ลิ้งด้านล่างนี้

TechTalk Webinar: Modernize IT Infrastructure with Google Cloud Platform โดย Tangerine

Tangerine ขอเรียนเชิญเหล่า IT Manager, System Engineer, Software Developer และผู้ที่สนใจทุกท่าน เข้าร่วม TechTalk Webinar ในหัวข้อเรื่อง "Modernize IT Infrastructure with Google Cloud Platform โดย Tangerine" เพื่อเริ่มต้นทำความรู้จักกับ Google Cloud Platform กับการนำไปใช้พัฒนาระบบ IT ให้ทันสมัยเพื่อตอบสนองต่อความต้องการทางธุรกิจที่เปลี่ยนแปลงไปได้อย่างรวดเร็ว ก้าวทันยุค Digital ในวันอังคารที่ 28 พฤษภาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้