CVE-2020-3960 | VMware多個產品信息泄露漏洞通告

發布時間 2020-06-11

0x00 漏洞概述


產品

CVE ID

類 型

漏洞等級

遠程利用

影響范圍

VMware vSphere ESXi (ESXi)

CVE-2020-3960

ROB

嚴重

ESXi 6.5、6.7

VMware Workstation Pro / Player (Workstation)

CVE-2020-3960

ROB

嚴重

Workstation 15.x

VMware Fusion Pro / Fusion (Fusion)

CVE-2020-3960

ROB

嚴重

Fusion 11.x


0x01 漏洞詳情


VMware虛擬機軟件,是全球桌面到數據中心虛擬化解決方案的領導廠商。全球不同規模的客戶依靠VMware來降低成本和運營費用、確保業務持續性、加強安全性并走向綠色。

2020年6月9日VMware發布安全更新,修復了VMware ESXi、Workstation和Fusion產品中的多個安全漏洞,具體信息如下:

Vmware ESXi、Workstation和Fusion產品中的NVMe功能中包含越界讀取漏洞(CVE-2020-3960)。攻擊者可以利用該漏洞以非管理員身份訪問虛擬機并從內存中讀取特權信息。

NVMe(Nonvolatile Memory Express,非易失性內存標準)是一種閃存和下一代固態驅動器 (SSD) 的全新存儲訪問和傳輸協議,可為所有類型的企業工作負載提供最高的吞吐量和最快的響應速度。


0x02 處置建議


VMware已經發布上述漏洞的補丁,但是沒有提供解決方法。

ESXi 6.7補丁程序ESXi670-202006401-SG

https://my.vmware.com/group/vmware/patch

https://docs.vmware.com/en/VMware-vSphere/6.7/rn/ESXi670-202006401-SG.html


ESXi 6.5補丁程序ESXi650-202005401-SG

https://my.vmware.com/group/vmware/patch

https://docs.vmware.com/en/VMware-vSphere/6.5/rn/ESXi650-202005401-SG.html


VMware Workstation Pro 15.5.5

https://www.vmware.com/go/downloadworkstation

https://docs.vmware.com/cn/VMware-Workstation-Pro/index.html


VMware Fusion 11.5.5

https://www.vmware.com/go/downloadfusion

https://docs.vmware.com/cn/VMware-Fusion/index.html

 

0x03 相關新聞


https://securityaffairs.co/wordpress/104579/security/vmware-products-flaw.html?utm_source=rss&utm_medium=rss&utm_campaign=vmware-products-flaw


0x04 參考鏈接


https://www.vmware.com/security/advisories/VMSA-2020-0012.html


0x05 時間線


2020-06-09 VMware發布漏洞公告

2020-06-11 VSRC發布漏洞通告