VMWARE Workstation出现多个严重漏洞 12.5.3以下版本均受影响 其它多个产品也爆出严重漏洞

简介:

VMWARE Workstation出现多个严重漏洞,12.5.3以下版本均受影响。此外,出漏洞的产品还包括Unified Access Gateway、Horizon View、Horizon View Client for Windows等。VMWare已经给出了各产品升级补丁,请尽快升级。 绿盟科技发布《VMSA-2017-0008.1安全威胁通告》,通告全文如下。

当地时间2017年4月19日(北京时间2017年4月20日),VMWARE官方发布安全通告,VMware Unified Access Gateway, Horizon View and Workstation产品存在多个严重漏洞。相关的CVE信息如下:

严重级别

严重

影响的产品

VMware Unified Access Gateway (formerly called Access Point)

VMware Horizon View

VMware Horizon View Client for Windows

VMware Workstation Pro / Player (Workstation)

CVE编号

CVE-2017-4907 CVE-2017-4908 CVE-2017-4909 CVE-2017-4910 CVE-2017-4911 CVE-2017-4912 CVE-2017-4913

详细通告内容的官方网址如下: http://www.vmware.com/security/advisories/VMSA-2017-0008.html

产品描述

Unified Access Gateway和Horizon View堆溢出漏洞

Unified Access Gateway和Horizon View产品中存在堆溢出漏洞,攻击者可以利用此漏洞在安全网关上远程执行代码,CVE编号为 CVE-2017-4907 ,下表会列出相关产品的受影响情况:

产品

版本

运行环境

严重级别

不受影响的版本

缓解措施

Unified Access Gateway*

2.9.x

N/A

不影响

N/A

N/A

Unified Access Gateway*

2.8.x

任意

严重

>=2.8.1

Horizon View

7.x

任意

严重

>=7.1.0

Horizon View

6.2.x

任意

严重

>=6.2.4

多个堆溢出漏洞

VMware Workstation 和 Horizon View Client产品中的TPView.dll库文件在解析JPEG2000和TrueType字体时存在多个堆溢出漏洞,攻击者可以利用此漏洞在安装了VMware Workstation 和 Horizon View Client的宿主机上执行代码或者导致宿主机拒绝服务。利用此漏洞的条件需要在VMware Workstation 和 Horizon View Client产品上开启虚拟打印服务。相关的CVE编号为: CVE-2017-4908 (JEPG2000), CVE-2017-4909 (TTF)。下表会列出相关产品受影响的情况:

产品

版本

运行环境

严重级别

不受影响的版本

缓解措施

Horizon View Client for Windows

4.x

Windows

严重

>=4.4.0

Workstation

12.x

Windows

严重

>=12.5.3

多处越界读写安全问题

VMware Workstation 和 Horizon View Client产品中的TPView.dll库文件在解析JPEG2000和TrueType字体时存在多处越界读写安全问题,攻击者可以利用此漏洞在安装了VMware Workstation 和 Horizon View Client的宿主机上执行代码或者导致宿主机拒绝服务。利用此漏洞的条件需要在VMware Workstation 和 Horizon View Client产品上开启虚拟打印服务。相关的CVE编号为: CVE-2017-4910 (JEPG2000), CVE-2017-4911 (JEPG2000), CVE-2017-4912 (TTF)。下表会列出相关产品受影响的情况:

产品

版本

运行环境

严重级别

不受影响的版本

缓解措施

Horizon View Client for Windows

4.x

Windows

严重

>=4.4.0

Workstation

12.x

Windows

严重

>=12.5.3

整形溢出漏洞

VMware Workstation 和 Horizon View Client产品中的TPView.dll库文件在解析TrueType字体(TTF)时存在整形溢出漏洞,攻击者可以利用此漏洞在安装了VMware Workstation 和 Horizon View Client的宿主机上执行代码或者导致宿主机拒绝服务。利用此漏洞的条件需要在VMware Workstation 和 Horizon View Client产品上开启虚拟打印服务。相关的CVE编号为: CVE-2017-4913 。下表会列出相关产品受影响的情况:

产品

版本

运行环境

严重级别

不受影响的版本

缓解措施

Horizon View Client for Windows

4.x

Windows

严重

>=4.4.0

Workstation

12.x

Windows

严重

>=12.5.3

修复方案

如果使用了受影响的版本,请尽快升级到不受影响的版本,升级方案如下:

参考连接

http://www.vmware.com/security/advisories/VMSA-2017-0008.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4907

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4908

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4909

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4910

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4911

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4912

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4913

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。


原文发布时间:2017年4月20日 

本文由:绿盟科技发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/vmware-workstation-vulnerabilities

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
2月前
|
Linux API 虚拟化
VMware WorkStation Pro 15.5(低版本安装) 教学用
VMware WorkStation Pro 15.5(低版本安装) 教学用
206 5
|
3月前
|
运维 虚拟化 Windows
VMware Workstation常见的故障处理
关于VMware Workstation常见故障处理的指南,包括Windows 10开启虚拟机蓝屏问题的解决方案和虚拟机无法开机时的解决方法。
235 21
VMware Workstation常见的故障处理
|
2月前
|
虚拟化 网络虚拟化 网络架构
虚拟机 VMware Workstation 16 PRO 的网络配置
虚拟机 VMware Workstation 16 PRO 的网络配置
89 2
|
3月前
|
虚拟化
VMware Workstation子网划分及bond配置案例
本文主要介绍了如何在VMware Workstation中进行子网划分以及如何添加和配置四块网卡以实现bond模式,并通过配置文件和命令行操作来验证bond模式的有效性。
77 2
VMware Workstation子网划分及bond配置案例
|
3月前
|
虚拟化
VMware Workstation产品常用的快捷键
文章介绍了VMware Workstation产品中常用的快捷键及其功能,包括对虚拟机的控制、设置、快照管理等操作,同时提供了作者的联系方式和博客链接。
177 15
|
4月前
|
机器学习/深度学习 人工智能 并行计算
VMware产品问题之VMware Private AI的目标定义如何解决
VMware产品问题之VMware Private AI的目标定义如何解决
31 0
|
4月前
|
人工智能 边缘计算 运维
VMware产品问题之VMware Tanzu的定义如何解决
VMware产品问题之VMware Tanzu的定义如何解决
30 0
|
4月前
|
存储 API 虚拟化
VMware产品问题之整合其产品以提供统一的产品门户体验如何解决
VMware产品问题之整合其产品以提供统一的产品门户体验如何解决
30 0
|
4月前
|
负载均衡 安全 虚拟化
VMware产品问题之在产品体系中实现平台化思维如何解决
VMware产品问题之在产品体系中实现平台化思维如何解决
22 0
|
24天前
|
Ubuntu 网络安全 虚拟化
VMware虚拟机ping不通原因排查及分析
下面以 VMware 虚拟机为例进行介绍。
280 3