Las actualizaciones de VMware ESXi, vCenter Server y Cloud Foundation abordan una vulnerabilidad de denegación de servicio parcial. Éstas, se informaron de forma privada a VMware, no obstante, al momento de esta publicación ya se cuenta con parches y actualizaciones disponibles para corregir estas vulnerabilidades en los productos VMware afectados.
Vulnerabilidad de denegación de servicio parcial a través de servicios de autenticación (CVE-2020-3976)
VMware ESXi y vCenter Server contienen una vulnerabilidad de denegación de servicio parcial en sus respectivos servicios de autenticación. VMware ha evaluado que la gravedad de este problema se encuentra en el rango de gravedad moderada con una puntuación base máxima de CVSSv3 de 5,3 .
Vectores de ataque conocidos
Un actor malintencionado con acceso de red a ESXi o vCenter puede aprovechar esta vulnerabilidad para agotar los recursos de memoria, lo que da como resultado una degradación de la condición de rendimiento mientras se mantiene el ataque.
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
| https://www.vmware.com/security/advisories... |
| Producto | Versión |
|---|---|
| VMware ESXi |
6.5 anterior a ESXi650-202007401-BG y ESXi650-202007101-SG 6.7 anterior a ESXi670-202008101-SG y ESXi670-202008401-BG 7.0 anterior a ESXi_7.0.0-1.25.16324942 |
| VMware vCenter Server |
6.5 anterior a 6.5u3k 6.7 anterior a 6.7u3j 7.0 anterior a 7.0.0b |
| VMware Cloud Foundation (ESXi) |
3.x.x anterior a 3.10.0 4.x.x anterior a 4.0.1 |
| Cloud Foundation (vCenter) |
3.x.x anterior a Release Pending (3.10.1) 4.x.x anterior a 4.0.1 |