VMware: Wichtige Sicherheitsupdates für ESXi und vCenter Server

  • TIPP

  • mad.de
  • 1195 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • VMware: Wichtige Sicherheitsupdates für ESXi und vCenter Server

    Sicherheitsupdates für vier Lücken in ESXi und vCenter Server schützen unter anderem vor dem Diebstahl von VM-Anmeldedaten.

    In mehreren Versionen von VMwares Virtualisierungsplattform ESXi und der VMware-Servermanagementsoftware vCenter Server klaffen insgesamt vier Sicherheitslücken mittleren bis hohen Schweregrads. Der Hersteller hat nachgebessert und Updates veröffentlicht, die Nutzer zeitnah einspielen sollten. Details zu allen vier Lücken, Informationen zu möglichen Workarounds sowie Links zu den abgesicherten Versionen sind VMwares Security Advisory (VMSA-2019-0013) zu entnehmen.

    vCenter Server: Anmeldedaten auslesbar
    Wie aus dem Advisory hervorgeht, weisen zwei der vier Sicherheitslücken den CVSS-v3-Score 7.7 ("Severity: Important") auf und betreffen vCenter Server in den Versionen 6.0, 6.5 und 6.7. Ein Angreifer könnte eine von ihnen (CVE-2019-5532) missbrauchen, um (unverschlüsselt gespeicherte) VM-Root-Zugangsdaten aus Logfiles auszulesen. Auch die andere (CVE-2019-5534) ermöglicht das Auslesen von Anmeldedaten, und zwar über die so genannten vAppConfig Properties.

    Die vCenter-Versionen 6.0 U3j, 6.5 U3 und 6.7 U3 sind gegen Angriffe auf die beiden Lücken abgesichert.

    Zwei Lücken moderaten Risikos in ESXi und vCenter Server
    Die übrigen beiden Sicherheitslücken bewertet VMware lediglich als mäßig gefährlich ("Moderate"). Sie betreffen ESXi (CVE-2017-16544; ältere Lücke in BusyBox) beziehungsweise ESXi und vCenter Server (CVE-2019-5531) – und zwar wiederum in den Versionen 6.0, 6.5 und 6.7.

    Die Fixes stecken in ESXi600-201909101-SG, ESXi650-201907101-SG und ESXi670-201904101-SG beziehungsweise in vCenter ab den Versionen 6.0 U3j, 6.5 U2b und 6.7 U1b.

    Quelle: VMware: Wichtige Sicherheitsupdates für ESXi und vCenter Server | heise online

    Update: 20.09.2019:

    VMware patcht weitere Lücke(n) in ESXi, Workstation und anderen Produkten

    Mehrere VMware-Produkte für Windows, Linux und macOS erlaubten Angriffe auf das jeweilige Hostsystem. Sicherheitsupdates stehen bereit.

    Für ESXi, VMwware Workstation, Fusion (macOS), die VMware Remote Console (VMRC) für Linux und Windows sowie den Horizon Client für alle drei Betriebssysteme stehen Updates bereit. Sie schließen eine Sicherheitslücke, die der Hersteller mit einem CVSS-v3-Score zwischen 8.0 und 8.5 ("Important") bewertet.

    Wie aus VMwares Security Advisory (VMSA-2019-0014) hervorgeht, könnte ein lokaler Angreifer mit normalen Zugriffsrechten zum Gastsystem die Lücke – einen Use-after-Free-Bug mit der CVE-Kennung CVE-2019-5527 – missbrauchen, um Code auf dem Hostrechner auszuführen. Die Lücke steckt laut Advisory im virtuellen Sound Device und kann nur dann ausgenutzt werden, wenn ein vorhandenes (valides) Sound-Backend gerade nicht mit der VM verbunden ist ("This issue can only be exploited if a valid sound back-end is not connected").

    Betroffene Versionen und weitere Patch-Hinweise
    Von CVE-2019-5527 betroffen sind laut VMware folgende Software-Versionen:

    ESXi: 6.0, 6.5, 6.7
    Workstation: 15.x
    Fusion: 11.x
    VMRC (Linux/Windows): 10.x
    Horizon Client (alle Plattformen): alle Versionen bis einschl. 5.x

    Details zu den abgesicherten Versionen sind dem Advisory zu entnehmen. Es nennt noch eine zweite Lücke (CVE-2019-5535), die allerdings lediglich als "Medium" eingestuft ist, ausschließlich Workstation und Fusion in denselben Versionen wie CVE-2019-5527 betrifft und kein separates Update erfordert.

    Nicht nur ESXi-, sondern auch vCenter-Server-Nutzer sollten zudem einen Blick auf das vor wenigen Tagen veröffentlichte Advisory VMSA-2019-0013.1 werfen. Es beschreibt vier weitere Lücken, die VMware ebenfalls gefixt hat.

    Quelle: VMware patcht weitere Lücke(n) in ESXi, Workstation und anderen Produkten | heise online

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von mad.de () aus folgendem Grund: Update: 20.09.2019