-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [21/05/2019]: Vulnerabilidade crítica na plataforma de virtualização VMWare

Prezados,

O CAIS alerta para as recentes vulnerabilidades críticas encontradas na plataforma de virtualização VMWare. Até o momento da publicação deste alerta, não foram identificados códigos de exploração para as vulnerabilidades identificadas.


DESCRIÇÃO

 - - Determinadas interfaces de aplicação (API) contém vulnerabilidades que permitem acesso não autenticado por meio de um soquete web. Um atacante pode enviar um arquivo JavaScript malicioso a um usuário que, ao executá-lo em um host que tenha o software de administração do ambiente de virtualização VMWare Tools instalado, pode permitir a execução de comandos nos hosts virtualizados e acesso privilegiado ao ambiente.

 - - Uma vulnerabilidade nas interfaces de rede virtuais 'e1000' e 'e1000e' pode permitir gravação de dados fora dos limites padrões (out-of-band). A exploração desta falha pode ocasionar erros nas conexões de rede e consequente negação de serviço, além de permitir a execução de códigos arbitrários no host virtualizado.

 - - Uma vulnerabilidade na controladora virtual USB 1.1 UHCI pode permitir leitura e gravação de dados fora dos limites padrões (out-of-band). A exploração desta falha pode permitir a execução de códigos arbitrários no host virtualizado. Mesmo utilizando controladoras virtuais USB 2.0 ou 3.0, o VMWare também adiciona por padrão a controladora USB 1.1. Esse ataque pode ser mitigado pelo fato que um usuário malicioso só consegue explorar esta vulnerabilidade se tiver acesso à máquina virtual que tenha uma controladora USB virtual.


SISTEMAS IMPACTADOS

Plataforma de virtualização VMWare


VERSÕES AFETADAS

VMWare ESXi 6.7
VMWare ESXi 6.5
VMWare ESXi 6.0
VMWare Workstation 15.x
VMWare Workstation 14.x
VMWare Fusion 11.x
VMWare Fusion 10.x


CORREÇÕES DISPONÍVEIS

Executar os patches de correção disponibilizados pela VMWare:
 - - Para versões ESXi 6.7, aplicar o patch ESXi670-201903001.
 - - Para versões ESXi 6.5, aplicar o patch ESXi650-201903001.
 - - Para versões ESXi 6.5, aplicar o patch ESXi600-201903001.
 - - Para versões Workstation 15.x, atualizar para versão 15.0.4;
 - - Para versões Workstation 15.x, atualizar para versão 14.1.7;
 - - Para versões Fusion 11.x, atualizar para versão 11.0.3;
 - - Para versões Fusion 10.x, atualizar para versão 10.1.6;


IDENTIFICADORES CVE (http://cve.mitre.org)

CVE-2019-5514
CVE-2019-5515
CVE-2019-5518
CVE-2019-5519
CVE-2019-5524


MAIS INFORMAÇÕES

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5514
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5515
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5518
[4] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5519
[5] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5524
[6] https://www.vmware.com/security/advisories/VMSA-2019-0005.html



O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhadas pelas redes sociais da RNP. Siga-nos!
Twitter: @RedeRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,

CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org

wsFcBAEBCAAQBQJc5ENFCRB83qA0uPj0mAAA6/0P/R6Yr616Et42sOe2iLzv
oWAyMmbZQKQ2rpSchNnhOm3amszw9Pb46LTv1JHPpKzfPC4/2fSkwSozffqB
cic5kRbyOiJZu4M/SVQpb6/+tupqFuJ2AcAlVx+w3jKuGqhmmlvjRftlWD7n
/YOZ4HU3yjH3JcS2oDmZDh0M82ISo8w1CgbZUbrz5h37uTUVvwYHOZueNIKA
wmo9dWiPp58cUZT/+HeadMvjODBwKkLpt2LjD/lGmSsD2443dXAGkcOtaofg
e3+wL50ZuEEXkaoA7a3C8SoWa1iWPdG7vNdbR1XlM6UsReYu2bX1sH7z++qD
eMAxIrSdvRpPjTzkGpJl0TLmpnIGUBKZo282HnoPiG7AR+pMLd8hWNkqLIt0
VXhl3IB2WOyFccwhzCB/IgHdwWb5aRmIMEUv0ybkEXH2+QWXswNujLTi5I4o
JVpWD1Q+BX1VUXGR4u6Awigh//ynP+8m/b+zRtf4ARwo1ruzzwiO0z7BJQR6
CJA/kT5fZ7bJybyGNk3rLOJMlJ0YDCmsxVADwA/WiW3Tb3vkfnuE0d7YWTt2
GOjVSrNv+rujfxRarSjjc+a2WDYswQZkBhlXEdmOJaqRVzzZYlapGPxtAc/E
unewOJ3FDhtAJZCpKIbtF469a5Vq2PGgpP1EdyJygCryOS9CGDGJCeZa8mwN
BAQs
=Isq7
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta@listas.rnp.br
http://listas.rnp.br/mailman/listinfo/rnp-alerta