VMware در این هفته اجرای کد، اعمال دستور، افشای اطلاعات و آسیبپذیریهای منع سرویس (DoS) را در محصولاتESXi ،vCenter Server ، Workstation ،Fusion ،VMRC و Horizon Client خود، وصله کرد.
روز دوشنبه، این شرکت اعلام کرد که وصلههایی برای هر چهار آسیبپذیری موثر بر ESXi و vCenter Server در دسترس قرار گرفتهاند. به نظر میرسد در میان این آسیبپذیریها، CVE-2019-5532 و CVE-2019-5534 به دلیل افشای اطلاعات با شدت بالا بر سرور vCenter، جدی ترین هستند.
“ریچ براون” از F5 Networks و Ola Beyioku به VMware گزارش کردند که ایرادات “مهم” طبقه بندی شده توسط این شرکت، مربوط به ماشینهای مجازی (OVF) هستند و میتوانند به یک کاربر مخرب اجازه دهند تا به اعتبارنامههای مورد استفاده برای گسترش OVF دسترسی پیدا کند. این اعتبارنامه ها معمولاً متعلق به حساب اصلی دستگاه مجازی است.
VMware همچنین روز دوشنبه به کاربران گفته است كه تكنیكهایی برای آسیبپذیری اعمال فرمان Busybox موثر بر روی ESXi وجود دارد كه به یك مهاجم اجازه میدهد تا با تهیه یك فایل مخرب، ادمین را برای اجرای دستورات لایه، فریب دهد.
توضیحات منتشر شده دیگری توسط VMware در روز پنجشنبه، دو آسیبپذیری را شرح میدهد. یکی از آنها، CVE-2019-5527، مسالهای جدی است که مربوط به دستگاه صوتی مجازی است و توسط ESXi ،Workstation ،Fusion ،VMRC و Horizon Client بکار میرود.
این آسیبپذیری، تنها در صورت عدم اتصال یک پس زمینه صوتی معتبر، میتواند مورد سوءاستفاده قرار بگیرد.
آسیبپذیری دوم، که نسبت به اولی “محدود” است، بر ایستگاه کاری روی هر بستر و ادغام بر روی macOS تأثیر میگذارد و میتواند با ارسال بستههای مخصوص IPv6 ساخته شده از دستگاه میهمان به سیستم VMware Network Address Translation، از آن برای ایجاد شرایط DoS شبکه سوءاستفاده کند.