VMware Tools 修复 vm3dmp 和 ALSA 的两个误差清静通告

宣布时间 2019-06-11

误差编号和级别



CVE编号:CVE-2019-5522,危险级别:高危,CVSS分值:厂商自评:7.1,官方:7.1

CVE编号:CVE-2019-5525,危险级别:高危,CVSS分值:厂商自评:8.5,官方:8.8



影响版本



受影响的版本


适用于Windows 10.x的VMware Tools < 10.3.10。


适用于Linux的VMware Workstation Pro / Player(Workstation)< 15.1.0。



误差概述



VMware Tools 修复 vm3dmp 驱动和 ALSA 的两个误差:


CVE-2019-5522


VMware Tools是美国威睿(VMware)公司的一套VMWare虚拟机自带的增强工具,它是VMware提供的用于增强虚拟显卡和硬盘性能、以及同步虚拟机与主机时钟的驱动程序。


VMware Tools更新解决了vm3dmp驱动程序中的一个越界读取误差,该驱动程序随Windows客户机中的VMware Tools一起装置。对装置了VMware Tools的Windows guest虚拟机具有非管剖析见权限的外地攻击者可能会在统一Windows guest盘算机上走漏内核信息或建设拒绝服务攻击。


CVE-2019-5525


VMware Workstation是美国威睿(VMware)公司的一套虚拟机软件。该软件提供可以同时运行多个差别的操作系统的虚拟机功效。


VMware Workstation(15.1.0之前的15.x)包括高级Linux声音系统结构(ALSA)后端中的释放后重用误差。 在客户机上具有通俗用户权限的恶意用户可能会将此问题与其他问题团结使用,以在装置了Workstation的Linux主机上执行代码。



误差验证



暂无POC/EXP。



修复建议



现在厂商已宣布新版本以修复误差,将适用于Windows 10.x的VMware Tools更新到10.3.10;将Workstation 15.x更新到15.1.0。下载链接如下:


VMware Tools 10.3.10
Downloads and Documentation:
https://docs.vmware.com/en/VMware-Tools/index.html

https://my.vmware.com/web/vmware/details?downloadGroup=VMTOOLS10310&productId=742


VMware Workstation Pro 15.1.0
Downloads and Documentation:
https://www.vmware.com/go/downloadworkstation

https://docs.vmware.com/en/VMware-Workstation-Pro/index.html


VMware Workstation Player 15.1.0
Downloads and Documentation:
https://www.vmware.com/go/downloadplayer

https://docs.vmware.com/en/VMware-Workstation-Player/index.html



参考链接



https://www.vmware.com/security/advisories/VMSA-2019-0009.html