VMware Sicherheitswarnung vor Schwachstelle CVE-2021-22045 in VMware Workstation & Co.

Sicherheit (Pexels, allgemeine Nutzung)[English]Der Hersteller VMware hat zum 4. Januar 2022 eine Sicherheitswarnung zur Schwachstelle CVE-2021-22045 herausgegeben. Diese Schwachstelle, die sich im CD-ROM-Treiber befindet, bedroht durch einen Heap-Overflow die Sicherheit von VMware Workstation, Fusion und ESXi Server. Es stehen aber Updates zum Schließen dieser Schwachstelle bereit. Zudem kann als Workaround die CD-ROM-Funktion deaktiviert werden. Hier einige Informationen dazu.

Ich bin von einem Blog-Leser (Aldox3) auf den nachfolgenden Tweet aufmerksam gemacht worden (danke dafür).

VMware Advisory VMSA-2022-0001

Im Sicherheits-Advisory VMSA-2022-0001 weist VMware auf die Schwachstelle CVE-2021-22045 hin, die folgende VMware-Produkte bedroht:

  • VMware ESXi
  • VMware Workstation
  • VMware Fusion
  • VMware Cloud Foundation

Die Schwachstelle, die zu einem Heap Overflow führt, wurde privat an VMware gemeldet. Die Schwachstelle befindet sich in der CD-ROM-Geräteemulation in VMware Workstation, Fusion und ESXi Server. Ein böswilliger Akteur, der Zugriff auf eine virtuelle Maschine mit CD-ROM-Geräteemulation hat, kann diese Sicherheitsanfälligkeit in Verbindung mit anderen Problemen ausnutzen, um Code auf dem Hypervisor von einer virtuellen Maschine auszuführen. CVE-2021-22045 hat einen CVSSv3-Basiswert von 7,7 und wird mit dem Schweregradbereich „Wichtig“ eingestuft.

Um CVE-2021-22045 zu beheben, hat VMware Updates für die betroffenen Produkte bereitgestellt. Hier die gefixten Versionen:

  • VMware ESXi 6.5
  • VMware ESXi 6.7
  • VMware Workstation 16.2.0
  • VMware Fusion 12.2.0

Details zu den Patches lassen sich auf der VMware-Seite des Advisory entnehmen. Zudem hat VMware Knowledgebase-Artikel für die betroffenen Produkte veröffentlicht, die  Workarounds (CD-ROM deaktivieren) bereithalten. Die VMware Knowledgebase-Artikel  sind ebenfalls auf der VMware-Seite des Advisory verlinkt.

Dieser Beitrag wurde unter Sicherheit, Update, Virtualisierung abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu VMware Sicherheitswarnung vor Schwachstelle CVE-2021-22045 in VMware Workstation & Co.

  1. KlausB. sagt:

    VMware Workstation hat aber schon eine höhere Versionnummer laut HomePage:
    VMware Workstation 16.2.1 Pro for Windows, 2021-11-09
    Die Version 16.2.0 gibt es mindestens schon sein Oktober 2021, laut Dateidatum meines Downloads.

  2. MOM20xx sagt:

    VMware wird auch immer mieser. Die Patches gibt es teils seit Oktober. Warum eröffnet man da nicht gleich im Oktober bei Release die Warnung?

    Bis heute noch kein log4j Patch für Vcenter Appliance.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert