Risques
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance
Systèmes affectés
- VMware ESXi 5.1 sans le patch ESXi510-201412101-SG
- VMware vCenter Server 5.0 avant la mise à jour numéro 3c
- VMware vCenter Server 5.1 avant la mise à jour numéro 3
- VMware vCenter Server 5.5 avant la mise à jour numéro 2
- VMware vCenter Server Appliance 5.1 avant la mise à jour numéro 3
Résumé
De multiples vulnérabilités ont été corrigées dans les produits VMware. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Contournement provisoire
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité VMware du 04 décembre 2014 http://www.vmware.com/security/advisories/VMSA-2014-0012.html
- Référence CVE CVE-2014-0015 https://www.cve.org/CVERecord?id=CVE-2014-0015
- Référence CVE CVE-2014-0138 https://www.cve.org/CVERecord?id=CVE-2014-0138
- Référence CVE CVE-2014-0191 https://www.cve.org/CVERecord?id=CVE-2014-0191
- Référence CVE CVE-2014-1752 https://www.cve.org/CVERecord?id=CVE-2014-1752
- Référence CVE CVE-2014-2877 https://www.cve.org/CVERecord?id=CVE-2014-2877
- Référence CVE CVE-2014-3797 https://www.cve.org/CVERecord?id=CVE-2014-3797
- Référence CVE CVE-2014-4238 https://www.cve.org/CVERecord?id=CVE-2014-4238
- Référence CVE CVE-2014-8371 https://www.cve.org/CVERecord?id=CVE-2014-8371
