保安警報 (A18-11-03): VMware 產品多個漏洞

描述:

VMware發布了一個安全公告，以應對於 vmxnet3 虛擬網絡介面卡中的未初始化堆疊記憶體 (uninitialised stack memory) 漏洞。

受影響的系統:

• VMware vSphere ESXi (ESXi) 6.0, 6.5 及 6.7 版本
• VMware Workstation version 14.x 及 15.x版本
• VMware Fusion version 10.x 及 11.x版本

影響:

成功利用這些漏洞可以導致主機(host)泄漏資訊給訪客、或讓訪客在主機中執行編碼。

建議:

產品供應商在其網站發布了新版本及解決方法以應對問題。

• VMware vSphere ESXi (ESXi) 6.0, 6.5 及 6.7 版本
  https://my.vmware.com/group/vmware/patch
  
  
• VMware Workstation Pro 14.1.4, 15.0.1
  https://www.vmware.com/go/downloadworkstation
  
  
• VMware Workstation Player 14.1.4, 15.0.1
  https://www.vmware.com/go/downloadplayer
  
  
• VMware Fusion Pro/ Fusion 10.1.4, 11.0.1
  https://www.vmware.com/go/downloadfusion
  
  

系統管理員可聯絡其產品支援供應商，以取得修補程式及有關支援。

進一步資訊:

https://www.vmware.com/security/advisories/VMSA-2018-0027.html
https://www.hkcert.org/my_url/zh/alert/18111201
https://www.us-cert.gov/ncas/current-activity/2018/11/09/VMware-Releases-Security-Updates
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6981
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6982