发布日期：2019-12-03
更新日期：2019-12-09

受影响系统：

VMWare ESXi 6.7
VMWare ESXi 6.7
VMWare ESXi 6.5
VMWare ESXi 6.0
VMWare Horizon DaaS 8.x

描述：

---

CVE(CAN) ID: CVE-2019-5544

VMware ESXi是一套可直接安装在物理服务器上的服务器虚拟化平台；Horizon DaaS 是一种VMware 托管的产品，它使组织能够 以合理的价格将桌面和应用以方便管理的集成式云计算服务形式快速部署到任何位置的任何设备。

VMware ESXi 和 Horizon DaaS 在实现中存在远程代码执行漏洞。漏洞来源于ESXi和Horizon DaaS设备中使用的OpenSLP存在堆覆盖问题，能够通过网络访问ESXi宿主机上 427 端口或任何Horizon DaaS平台的恶意用户可能会通过覆盖OpenSLP服务的堆，最终导致远程代码执行。

<*来源：360Vulcan team
  
  链接：https://www.vmware.com/security/advisories/VMSA-2019-0022.html
*>

建议：

---

厂商补丁：

VMWare
------
官方已为 ESXi 提供了修复该漏洞的补丁及缓解措施，请受影响用户尽快前往对应页面下载更新防范风险，Horizon DaaS的补丁还在制作中，请密切关注官网更新
ESXi 6.7 补丁 ESXi670-201912001
https://my.vmware.com/group/vmware/patch
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/esxi670-201912001.html
ESXi 6.5 补丁 ESXi650-201912001
https://my.vmware.com/group/vmware/patch
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/esxi650-201912001.html
ESXi 6.0 补丁 ESXi600-201912001
https://my.vmware.com/group/vmware/patch
https://docs.vmware.com/en/VMware-vSphere/6.0/rn/esxi600-201912001.html
缓解措施：
ESXi 6.x https://kb.vmware.com/s/article/76372

浏览次数：1691
严重程度：0（网友投票）