VMware heeft in Advisory ID: VMSA-2020-0026.1 bekend gemaakt dat er meerdere kwetsbaarheden in de VMware ESXi, VMware Workstation Pro / Player (Workstation), VMware Fusion Pro / Fusion (Fusion) en VMware cloud foundation zijn gevonden. Het betreft een “use-after-free” kwetsbaarheid in de XHCI USB controller met nummer CVE-2020-4004 en “privilege-escalation” kwetsbaarheid, waardoor het mogelijk is bepaalde system calls te kunnen sturen met nummer CVE-2020-4005.
Impact
De volgende producten zijn kwetsbaar voor CVE-2020-4004 en CVE-2020-4005:
- VMware ESXi
- VMware Workstation Pro / Player (Workstation)
- VMware Fusion Pro / Fusion (Fusion)
- VMware Cloud Foundation
Classificatie
Beide kwetsbaarheden zijn als P1 high geclassificeerd, waarbij CVE-2020-4004 een CVSSv3 base score van 9.3 heeft en CVE-2020-4005 een CVSSv3 base score van 8.8.
Advies
PQR adviseert de kwetsbaarheden te verhelpen doormiddel van het installeren van een update naar een nieuwe versie waarin de kwetsbaarheid is verholpen.[1]
Oplossing
CVE-2020-4004 en CVE-2020-4005 zijn beide te verhelpen door het installeren van een update. Welke update geïnstalleerd dient te worden hangt af van het product en de huidige versie, raadpleeg hiervoor de onderstaande tabellen.
CVE-2020-4004
Product | Version | CVE Identifier | CVSSv3 | Severity | Fixed Version | Workarounds |
ESXi | 7.0 | CVE-2020-4004 | 9.3 | Critical | ESXi70U1b-17168206 | Remove XHCI (USB 3.x) controller |
ESXi | 6.7 | CVE-2020-4004 | 9.3 | Critical | ESXi670-202011101-SG | Remove XHCI (USB 3.x) controller |
ESXi | 6.5 | CVE-2020-4004 | 9.3 | Critical | ESXi650-202011301-SG | Remove XHCI (USB 3.x) controller |
Fusion | 12.x | CVE-2020-4004 | N/A | N/A | Unaffected | N/A |
Fusion | 11.x | CVE-2020-4004 | 9.3 | Critical | 11.5.7 | Remove XHCI (USB 3.x) controller |
Workstation | 16.x | CVE-2020-4004 | N/A | N/A | Unaffected | N/A |
Workstation | 15.x | CVE-2020-4004 | 9.3 | Critical | 15.5.7 | Remove XHCI (USB 3.x) controller |
VMware Cloud Foundation (ESXi) | 4.x | CVE-2020-4004 | 9.3 | Critical | 4.1.0.1 | Remove XHCI (USB 3.x) controller |
VMware Cloud Foundation (ESXi) | 3.x | CVE-2020-4004 | 9.3 | Critical | 3.10.1.2 | Remove XHCI (USB 3.x) controller |
CVE-2020-4005
Product | Version | CVE Identifier | CVSSv3 | Severity | Fixed Version | Workarounds |
ESXi | 7.0 | CVE-2020-4005 | 8.8 | Important | ESXi70U1b-17168206 | None |
ESXi | 6.7 | CVE-2020-4005 | 8.8 | Important | ESXi670-202011101-SG | None |
ESXi | 6.5 | CVE-2020-4005 | 8.8 | Important | ESXi650-202011301-SG | None |
VMware Cloud Foundation (ESXi) | 4.x | CVE-2020-4005 | 8.8 | Important | 4.1.0.1 | None |
VMware Cloud Foundation (ESXi) | 3.x | CVE-2020-4005 | 8.8 | Important | 3.10.1.2 | None |
Workaround
CVE-2020-4004 heeft als workaround het verwijderen van de XHCI (USB 3.x) controller, zodat deze niet meer gebruikt wordt op de betreffende omgeving.
Vragen of hulp nodig?
Mocht u over de bovenstaande VMware kwetsbaarheid vragen hebben of heeft u hier hulp bij nodig, neem dan contact op met PQR.