Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidades en múltiples productos VMWare

Vulnerabilidades en múltiples productos VMWare

Fecha de publicación: 
28/01/2015
Importancia: 
4 - Alta
Recursos afectados: 

Los siguientes productos VMWare están afectados:

  • VMware Workstation 10.x anterior a versión 10.0.5
  • VMware Player 6.x anterior a versión 6.0.5
  • VMware Fusion 7.x anterior a versión 7.0.1
  • VMware Fusion 6.x anterior a versión 6.0.5
  • vCenter Server 5.5 anterior a actualización 2d
  • ESXi 5.5 sin parches ESXi550-201403102-SG, ESXi550-201501101-SG
  • ESXi 5.1 sin parches ESXi510-201404101-SG
  • ESXi 5.0 sin parches ESXi500-201405101-SG
Descripción: 

WMWare soluciona múltiples vulnerabilidades que afectan a VMware vCenter Server, ESXi, Workstation, Player y Fusion.

Solución: 

Aplicar los parches siguientes según corresponda:

Detalle: 

Escalada de privilegios en el host en VMware ESXi, Workstation, Player y Fusion.

Esta vulnerabilidad debida a una escritura arbitraria de fichero permite escalar privilegios en el sistma host, pero no permite escalada de privilegios desde sistema operativo invitado a host o viceversa

Denegación de servicio en VMware Workstation, Player y Fusion.

Un problema de validación de entrada en el sistema de ficheros del invitado (HGFS), permite causar una denegación de servicio en el sistema invitado. Esta vulnerabilidad tiene reservado el CVE-2014-8370.

Denegación de servicio en VMware ESXi, Workstation y Player.

Un fallo en la validación de entrada del proceso VMware Authorization process (vmware-authd), puede causar una denegación de servicio en el sitema host. Esta denegación será parcial en sistemas ESXi y Workstation ejecutando Linux. Esta vulnerabilidad tiene reservado el CVE-2015-1044.

Actualización openssl para VMware vCenter Server y ESXi.

La actualización corrige las vulnerabilidades descritas en los CVE-2014-3513, CVE-2014-3567, CVE-2014-3566 (“POODLE”) y CVE-2014-3568

Actualización de libxml2 en ESXi.

Este parche corrige un problema de seguridad que puede provocar una denegación de servicio al procesar un fichero XML manipulado. Esta vulnerabilidad esta descrita en el CVE-2014-3660.