Inicio / Content / Boletín de INCIBE-CERT del 29-05-2020

Boletín de INCIBE-CERT del 29-05-2020

Múltiples vulnerabilidades en productos de VMware

Fecha de publicación: 
29/05/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • VMware ESXi, versiones 6.7 y 6.5;
  • VMware Workstation Pro / Player (Workstation), versión 15.X;
  • VMware Fusion Pro / Fusion (Fusion), versión 11.X;
  • VMware Remote Console para Mac (VMRC para Mac), versión 11.X, y anteriores;
  • VMware Horizon Client para Mac, versión 5.X, y anteriores.
Descripción: 

Varios investigadores en ciberseguridad han notificado a VMware tres vulnerabilidades, una de criticidad alta, una media y otra baja, del tipo escalada de privilegios, control de acceso inapropiado y cierre inesperado del sistema.

Solución: 

VMware ha publicado diversas actualizaciones en función del producto y versiones afectadas. Para obtener la actualización específica consulte el apartado Referencias.

Detalle: 
  • La vulnerabilidad de criticidad alta afecta a los productos de VMware Fusion, VMRC para Mac y Horizont Client para Mac. Estos productos contienen una vulnerabilidad de escalada local de privilegios, debido a un fallo en el Time-of-check Time-of-use (TOCTOU) del service opener. Un atacante, con privilegios normales, podría realizar una escalada de privilegios y obtener privilegios de root en el sistema. Se ha reservado el identificador CVE-2020-3957 para esta vulnerabilidad.
  • A las vulnerabilidades de criticidad media y baja se les han reservado los identificadores CVE-2020-3958 y CVE-2020-3959, respectivamente.

Encuesta valoración

Vulnerabilidades en Security Identity Governance and Intelligence (IGI) de IBM

Fecha de publicación: 
29/05/2020
Importancia: 
4 - Alta
Recursos afectados: 

IBM Security Identity Governance and Intelligence, versión 5.2.6.

Descripción: 

IBM ha publicado una vulnerabilidad de contraseñas embebidas y otra de inyección de XML External Entity Injection (XEE) en su producto Security Identity Governance and Intelligence (IGI).

Solución: 

Actualizar a la versión 5.2.6.0-ISS-SIGI-FP0001.

Detalle: 
  • IBM ha eliminado las contraseñas embebidas presentes en la versión de IBM Security Directory Integrator utilizada por IBM Security Identity Governance and Intelligence (IGI).
  • Virtual Appliance es vulnerable a un ataque de Inyección de Entidad Externa XML (XXE) que podría permitir a un atacante exponer información sensible o consumir recursos de memoria. Se ha asignado el identificador CVE-2020-4246 para esta vulnerabilidad.

Encuesta valoración