VMWARE Workstation出现多个严重漏洞 12.5.3以下版本均受影响 其它多个产品也爆出严重漏洞

简介:

VMWARE Workstation出现多个严重漏洞,12.5.3以下版本均受影响。此外,出漏洞的产品还包括Unified Access Gateway、Horizon View、Horizon View Client for Windows等。VMWare已经给出了各产品升级补丁,请尽快升级。 绿盟科技发布《VMSA-2017-0008.1安全威胁通告》,通告全文如下。

当地时间2017年4月19日(北京时间2017年4月20日),VMWARE官方发布安全通告,VMware Unified Access Gateway, Horizon View and Workstation产品存在多个严重漏洞。相关的CVE信息如下:

严重级别

严重

影响的产品

VMware Unified Access Gateway (formerly called Access Point)

VMware Horizon View

VMware Horizon View Client for Windows

VMware Workstation Pro / Player (Workstation)

CVE编号

CVE-2017-4907 CVE-2017-4908 CVE-2017-4909 CVE-2017-4910 CVE-2017-4911 CVE-2017-4912 CVE-2017-4913

详细通告内容的官方网址如下: http://www.vmware.com/security/advisories/VMSA-2017-0008.html

产品描述

Unified Access Gateway和Horizon View堆溢出漏洞

Unified Access Gateway和Horizon View产品中存在堆溢出漏洞,攻击者可以利用此漏洞在安全网关上远程执行代码,CVE编号为 CVE-2017-4907 ,下表会列出相关产品的受影响情况:

产品

版本

运行环境

严重级别

不受影响的版本

缓解措施

Unified Access Gateway*

2.9.x

N/A

不影响

N/A

N/A

Unified Access Gateway*

2.8.x

任意

严重

>=2.8.1

Horizon View

7.x

任意

严重

>=7.1.0

Horizon View

6.2.x

任意

严重

>=6.2.4

多个堆溢出漏洞

VMware Workstation 和 Horizon View Client产品中的TPView.dll库文件在解析JPEG2000和TrueType字体时存在多个堆溢出漏洞,攻击者可以利用此漏洞在安装了VMware Workstation 和 Horizon View Client的宿主机上执行代码或者导致宿主机拒绝服务。利用此漏洞的条件需要在VMware Workstation 和 Horizon View Client产品上开启虚拟打印服务。相关的CVE编号为: CVE-2017-4908 (JEPG2000), CVE-2017-4909 (TTF)。下表会列出相关产品受影响的情况:

产品

版本

运行环境

严重级别

不受影响的版本

缓解措施

Horizon View Client for Windows

4.x

Windows

严重

>=4.4.0

Workstation

12.x

Windows

严重

>=12.5.3

多处越界读写安全问题

VMware Workstation 和 Horizon View Client产品中的TPView.dll库文件在解析JPEG2000和TrueType字体时存在多处越界读写安全问题,攻击者可以利用此漏洞在安装了VMware Workstation 和 Horizon View Client的宿主机上执行代码或者导致宿主机拒绝服务。利用此漏洞的条件需要在VMware Workstation 和 Horizon View Client产品上开启虚拟打印服务。相关的CVE编号为: CVE-2017-4910 (JEPG2000), CVE-2017-4911 (JEPG2000), CVE-2017-4912 (TTF)。下表会列出相关产品受影响的情况:

产品

版本

运行环境

严重级别

不受影响的版本

缓解措施

Horizon View Client for Windows

4.x

Windows

严重

>=4.4.0

Workstation

12.x

Windows

严重

>=12.5.3

整形溢出漏洞

VMware Workstation 和 Horizon View Client产品中的TPView.dll库文件在解析TrueType字体(TTF)时存在整形溢出漏洞,攻击者可以利用此漏洞在安装了VMware Workstation 和 Horizon View Client的宿主机上执行代码或者导致宿主机拒绝服务。利用此漏洞的条件需要在VMware Workstation 和 Horizon View Client产品上开启虚拟打印服务。相关的CVE编号为: CVE-2017-4913 。下表会列出相关产品受影响的情况:

产品

版本

运行环境

严重级别

不受影响的版本

缓解措施

Horizon View Client for Windows

4.x

Windows

严重

>=4.4.0

Workstation

12.x

Windows

严重

>=12.5.3

修复方案

如果使用了受影响的版本,请尽快升级到不受影响的版本,升级方案如下:

参考连接

http://www.vmware.com/security/advisories/VMSA-2017-0008.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4907

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4908

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4909

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4910

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4911

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4912

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-4913

绿盟科技声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。


原文发布时间:2017年4月20日 

本文由:绿盟科技发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/vmware-workstation-vulnerabilities

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
1月前
|
Unix Linux 虚拟化
VMware Workstation 17.6.2 发布下载,现在完全免费无论个人还是商业用途
VMware Workstation 17.6.2 发布下载,现在完全免费无论个人还是商业用途
638 15
VMware Workstation 17.6.2 发布下载,现在完全免费无论个人还是商业用途
|
3月前
|
Linux API 虚拟化
VMware WorkStation Pro 15.5(低版本安装) 教学用
VMware WorkStation Pro 15.5(低版本安装) 教学用
328 5
|
4月前
|
运维 虚拟化 Windows
VMware Workstation常见的故障处理
关于VMware Workstation常见故障处理的指南,包括Windows 10开启虚拟机蓝屏问题的解决方案和虚拟机无法开机时的解决方法。
262 21
VMware Workstation常见的故障处理
|
3月前
|
虚拟化 网络虚拟化 网络架构
虚拟机 VMware Workstation 16 PRO 的网络配置
虚拟机 VMware Workstation 16 PRO 的网络配置
114 2
|
4月前
|
虚拟化
VMware Workstation子网划分及bond配置案例
本文主要介绍了如何在VMware Workstation中进行子网划分以及如何添加和配置四块网卡以实现bond模式,并通过配置文件和命令行操作来验证bond模式的有效性。
91 3
VMware Workstation子网划分及bond配置案例
|
4月前
|
虚拟化
VMware Workstation产品常用的快捷键
文章介绍了VMware Workstation产品中常用的快捷键及其功能,包括对虚拟机的控制、设置、快照管理等操作,同时提供了作者的联系方式和博客链接。
221 15
|
5月前
|
机器学习/深度学习 人工智能 并行计算
VMware产品问题之VMware Private AI的目标定义如何解决
VMware产品问题之VMware Private AI的目标定义如何解决
43 0
|
2月前
|
Ubuntu 网络安全 虚拟化
VMware虚拟机ping不通原因排查及分析
下面以 VMware 虚拟机为例进行介绍。
1464 3
|
2月前
|
存储 SQL 数据库
虚拟化数据恢复—Vmware虚拟机误还原快照的数据恢复案例
虚拟化数据恢复环境: 一台虚拟机从物理机迁移到ESXI虚拟化平台,迁移完成后做了一个快照。虚拟机上运行了一个SQL Server数据库,记录了数年的数据。 ESXI虚拟化平台上有数十台虚拟机,EXSI虚拟化平台连接了一台EVA存储,所有的虚拟机都存放在EVA存储上。 虚拟化故障: 工组人员误操作将数年前迁移完成后做的快照还原了,也就意味着虚拟机状态还原到数年前,近几年数据都被删除了。 还原快照相当于删除数据,意味着部分存储空间会被释放。为了不让这部分释放的空间被重用,需要将连接到这台存储的所有虚拟机都关掉,需要将不能长时间宕机的虚拟机迁移到别的EXSI虚拟化平台上。
122 50
|
3月前
|
安全 虚拟化 数据中心
Xshell 连接 VMware虚拟机操作 截图和使用
Xshell 连接 VMware虚拟机操作 截图和使用
97 4

热门文章

最新文章