弱點通告:VMware發布vSphere, Workstation 和 Fusion 安全更新,建議請管理者/使用者儘速評估更新!
2018/01/12
風險等級: 高度威脅
摘  要:

VMware發布安全更新,以解決VMware vSphere, Workstation 和 Fusion 中推測執行 (speculative execution) 的問題。

目前已知會受到影響的產品為VMware vCenter Server (VC)、VMware vSphere ESXi (ESXi)、VMware Workstation Pro / Player (Workstation)、VMware Fusion Pro / Fusion (Fusion)。HiNet SOC 建議請管理者/使用者儘速評估更新,以降低受駭風險。

影響系統:
  • VMware vCenter Server (VC) 6.5(含)之前版本
  • VMware vSphere ESXi (ESXi) 6.5(含)之前版本
  • VMware Workstation Pro / Player (Workstation) 14.x (含)之前版本
  • VMware Fusion Pro / Fusion (Fusion) 10.x (含)之前版本
  • 解決辦法: 請參考Vmware官網下載更新

  • VMware vCenter Server (VC) 6.5 U1e
  • VMware vCenter Server (VC) 6.0 U3d
  • VMware vCenter Server (VC) 5.5 U3g
  • VMware ESXi 6.5
  • VMware ESXi 6.0
  • VMware ESXi 5.5
  • VMware Workstation Pro 14.1.1
  • VMware Workstation Player 14.1.1
  • VMware Workstation Pro 12.5.9
  • VMware Workstation Player 12.5.9
  • VMware Fusion Fusion 8.5.10, 10.1.1
  • VMware Fusion Pro 8.5.10, 10.1.1

  • 細節描述:

    VMware發布安全更新,以解決VMware vSphere, Workstation 和 Fusion 中推測執行 (speculative execution) 的問題。

    VMware vSphere, Workstation 和 Fusion 的更新檔中包含對推測執行 (speculative execution)增加控制的Hypervisor-Assisted Guest Remediation。客戶端作業系統 (Guest Operating System)可以修正分支目標注入 (branch target injection) 的問題。

    CVE-2017-5715: 分支目標注入 (branch target injection),此漏洞會導致虛擬機器 (virtual machine) 內程序 (processes) 的資料會被彼此讀取。

    HiNet SOC 建議請管理者/使用者儘速評估更新,以降低受駭風險。

    參考資訊:

    US-CERT(2018/01/09)
    Vmware(2018/01/09)