保安警报 (A18-11-03): VMware 产品多个漏洞

描述:

VMware发布了一个安全公告，以应对于 vmxnet3 虚拟网络介面卡中的未初始化堆迭记忆体 (uninitialised stack memory) 漏洞。

受影响的系统:

• VMware vSphere ESXi (ESXi) 6.0, 6.5 及 6.7 版本
• VMware Workstation version 14.x 及 15.x版本
• VMware Fusion version 10.x 及 11.x版本

影响:

成功利用这些漏洞可以导致主机(host)泄漏资讯给访客、或让访客在主机中执行编码。

建议:

产品供应商在其网站发布了新版本及解决方法以应对问题。

• VMware vSphere ESXi (ESXi) 6.0, 6.5 及 6.7 版本
  https://my.vmware.com/group/vmware/patch
  
  
• VMware Workstation Pro 14.1.4, 15.0.1
  https://www.vmware.com/go/downloadworkstation
  
  
• VMware Workstation Player 14.1.4, 15.0.1
  https://www.vmware.com/go/downloadplayer
  
  
• VMware Fusion Pro/ Fusion 10.1.4, 11.0.1
  https://www.vmware.com/go/downloadfusion
  
  

系统管理员可联络其产品支援供应商，以取得修补程式及有关支援。

进一步信息:

https://www.vmware.com/security/advisories/VMSA-2018-0027.html
https://www.hkcert.org/my_url/zh/alert/18111201
https://www.us-cert.gov/ncas/current-activity/2018/11/09/VMware-Releases-Security-Updates
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6981
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6982