Sistemas Afectados

• CVMware vSphere ESXi
• VMware Workstation Pro / Player
• VMware Fusion Pro / Fusion
• VMware Remote Console (VMRC)
• VMware Horizon Client.

Versiones

• CVMware vSphere ESXi, versiones 6.7, 6.5 y 6.0
• VMware Workstation Pro / Player, versiones 15.x
• VMware Fusion Pro / Fusion, versiones 11.x
• VMware Remote Console (VMRC) para Windows y Linux, versiones 10.x
• VMware Horizon Client para Windows, Linux y Mac, versiones 5.x y anteriores

Descripción

Han sido reportadas varias vulnerabildades a VMware por diversos investigadores, de uso después de liberación de memoria, denegación de servicio y inyección de comandos en una versión vulnerable de “busybox” que no limpia los nombres de archivos.

Referencias

• CVE-2017-16544
• CVE-2019-5531
• CVE-2019-5531
• CVE-2019-5534
• CVE-2019-5527
• CVE-2019-5535

Solución

• En ESXi:
• versión 6.7 aplicar el parche ESXi670-201904101-SG
• versión 6.5 aplicar el parche ESXi650-201903401-SG
• versión 6.0 aplicar el parche ESXi600-201909101-SG
• Actualizar Workstation a la versión 15.5.0.
• Actualizar Fusion a la versión 11.5.0.
• Actualizar VMRC a la versión 10.0.5 o posterior.
• Actualizar Horizon Client a la versión 5.2.0.