漏洞情报 | Use-after-free vulnerability漏洞通报和修复方案

漏洞情报 | Use-after-free vulnerability漏洞通报和修复方案

3月6日上午,收到邮件,提示高危漏洞,原文如下:

https://www.vmware.com/security/advisories/VMSA-2024-0006.html

按照例行提示,后续所有的Critical 高危级别的漏洞,都将额外做提醒和更新。

一、漏洞说明:

Use-after-free(UAF)漏洞一般指访问了被释放后的内存区域时,可能导致数据损坏、信息泄漏、拒绝服务和任意代码执行攻击。

二、受影响产品:

  • VMware ESXi
  • VMware Workstation Pro / Player (Workstation)
  • VMware Fusion Pro / Fusion (Fusion)
  • VMware Cloud Foundation (Cloud Foundation)

二、受影响版本:

ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed Version [1]WorkaroundsAdditional Documentation
ESXi8.0AnyCVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-222558.4, 8.4, 7.9, 7.1Critical ESXi80U2sb-23305545KB96682FAQ
ESXi8.0 [2]AnyCVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-222558.4, 8.4, 7.9, 7.1Critical ESXi80U1d-23299997KB96682FAQ
ESXi7.0AnyCVE-2024-22252, CVE-2024-22253, CVE-2024-22254, CVE-2024-222558.4, 8.4, 7.9, 7.1Critical ESXi70U3p-23307199KB96682FAQ
Workstation17.xAnyCVE-2024-22252, CVE-2024-22253, CVE-2024-222559.3, 9.3, 7.1Critical 17.5.1KB96682None.
Fusion13.xMacOSCVE-2024-22252, CVE-2024-22253, CVE-2024-222559.3, 9.3, 7.1Critical 13.5.1KB96682None

针对vSphere 6.x版本用户,建议尽快升级到vSphere 7或者8。

四、升级包安装和下载路径:

ESXi补丁安装可参考文档:如何升级ESXi补丁?

补丁下载:VMware常用软件ISO下载汇总(2024年3月更新)

Workstation新版下载:VMware Workstation Pro 虚拟机软件专业版

临时缓解措施:针对无法打补丁的情况下,可以暂时把虚拟机的USB控制器移除。方法可以参考KB96682:How to remove USB controllers from a Virtual Machine

dinghui.org

关注虚拟化及IT技术发展!

发表评论


The reCAPTCHA verification period has expired. Please reload the page.