[English]Der Hersteller VMware hat zum 4. Januar 2022 eine Sicherheitswarnung zur Schwachstelle CVE-2021-22045 herausgegeben. Diese Schwachstelle, die sich im CD-ROM-Treiber befindet, bedroht durch einen Heap-Overflow die Sicherheit von VMware Workstation, Fusion und ESXi Server. Es stehen aber Updates zum Schließen dieser Schwachstelle bereit. Zudem kann als Workaround die CD-ROM-Funktion deaktiviert werden. Hier einige Informationen dazu.
Ich bin von einem Blog-Leser (Aldox3) auf den nachfolgenden Tweet aufmerksam gemacht worden (danke dafür).
Im Sicherheits-Advisory VMSA-2022-0001 weist VMware auf die Schwachstelle CVE-2021-22045 hin, die folgende VMware-Produkte bedroht:
- VMware ESXi
- VMware Workstation
- VMware Fusion
- VMware Cloud Foundation
Die Schwachstelle, die zu einem Heap Overflow führt, wurde privat an VMware gemeldet. Die Schwachstelle befindet sich in der CD-ROM-Geräteemulation in VMware Workstation, Fusion und ESXi Server. Ein böswilliger Akteur, der Zugriff auf eine virtuelle Maschine mit CD-ROM-Geräteemulation hat, kann diese Sicherheitsanfälligkeit in Verbindung mit anderen Problemen ausnutzen, um Code auf dem Hypervisor von einer virtuellen Maschine auszuführen. CVE-2021-22045 hat einen CVSSv3-Basiswert von 7,7 und wird mit dem Schweregradbereich „Wichtig“ eingestuft.
Um CVE-2021-22045 zu beheben, hat VMware Updates für die betroffenen Produkte bereitgestellt. Hier die gefixten Versionen:
- VMware ESXi 6.5
- VMware ESXi 6.7
- VMware Workstation 16.2.0
- VMware Fusion 12.2.0
Details zu den Patches lassen sich auf der VMware-Seite des Advisory entnehmen. Zudem hat VMware Knowledgebase-Artikel für die betroffenen Produkte veröffentlicht, die Workarounds (CD-ROM deaktivieren) bereithalten. Die VMware Knowledgebase-Artikel sind ebenfalls auf der VMware-Seite des Advisory verlinkt.
VMware Workstation hat aber schon eine höhere Versionnummer laut HomePage:
VMware Workstation 16.2.1 Pro for Windows, 2021-11-09
Die Version 16.2.0 gibt es mindestens schon sein Oktober 2021, laut Dateidatum meines Downloads.
weil zB. workstation (player) wäre AB 16.2.0 abgesichert – steht bei heise, 16.2.1 dann wohl immer noch…
;-)
VMware wird auch immer mieser. Die Patches gibt es teils seit Oktober. Warum eröffnet man da nicht gleich im Oktober bei Release die Warnung?
Bis heute noch kein log4j Patch für Vcenter Appliance.
Das war auch mein Gedanke. VMware lässt sich aber offenbar immer gerne Zeit, wenn man einen Workaround ausgeknobelt hat. Das Ding ist auch noch offen:
https://www.vmware.com/security/advisories/VMSA-2021-0025.html
Die Meldung ist auch bald 2 Monate alt. Irgendwie schwierig zeitnah zu patchen, wenn der Hersteller offenbar eingeschlafen ist und nix liefert.
Gruß Singlethreaded