VMware ESXi 远程代码执行漏洞(CVE-2019-5544)安全威胁通告

发布人: 发布时间:2019-12-11


综述

当地时间125号,VMware 官方发布安全通告公布了一个存在于 VMware ESXi Horizon DaaS 中的远程代码执行漏洞(CVE-2019-5544)。漏洞来源于ESXiHorizon DaaS设备中使用的OpenSLP存在堆覆盖问题,能够通过网络访问ESXi宿主机上 427 端口或任何Horizon DaaS平台的恶意用户可能会通过覆盖OpenSLP服务的堆,最终导致远程代码执行。

VMware已评估了此问题,并定级为严重,CVSSv3 评分 9.8

参考链接:

https://www.vmware.com/security/advisories/VMSA-2019-0022.html

受影响产品及修复情况

产品

受影响版本

修复补丁

ESXi

6.7

ESXi670-201912001

ESXi

6.5

ESXi650-201912001

ESXi

6.0

ESXi600-201912001

Horizon DaaS

8.x

补丁制作中

安全建议

官方已为 ESXi 提供了修复该漏洞的补丁及缓解措施,请受影响用户尽快前往对应页面下载更新防范风险,Horizon DaaS的补丁还在制作中,请密切关注官网更新。

  • ESXi 6.7 补丁 ESXi670-201912001

https://my.vmware.com/group/vmware/patch

https://docs.vmware.com/en/VMware-vSphere/6.7/rn/esxi670-201912001.html

  • ESXi 6.5 补丁 ESXi650-201912001

https://my.vmware.com/group/vmware/patch

https://docs.vmware.com/en/VMware-vSphere/6.5/rn/esxi650-201912001.html

  • ESXi 6.0 补丁 ESXi600-201912001

https://my.vmware.com/group/vmware/patch

https://docs.vmware.com/en/VMware-vSphere/6.0/rn/esxi600-201912001.html

  • 缓解措施:

ESXi 6.x https://kb.vmware.com/s/article/76372

上一篇:Harbor多个漏洞安全威胁通告

下一篇:Oracle全系产品2019年10月关键补丁更新