Risques
- Exécution de code arbitraire à distance
- Élévation de privilèges
Systèmes affectés
- VMware Player versions 7.x.x antérieures à 7.1.3 sur Windows
- VMware vCenter Server versions 5.0 antérieures à 5.0 U3e sans le correctif de sécurité KB 2144428 sur Windows
- VMware vCenter Server versions 5.0 antérieures à 5.0 U3e sur Linux
- VMware vCenter Server versions 5.1 antérieures à 5.1 U3b sans le correctif de sécurité KB 2144428 sur Windows
- VMware vCenter Server versions 5.1 antérieures à 5.1 U3b sur Linux
- VMware vCenter Server versions 5.5 antérieures à 5.5 U3 sur Linux
- VMware vCenter Server versions 5.5 antérieures à 5.5 U3d sur Windows
- VMware vCenter Server versions 6.0.x antérieures à 6.0.0b sans le correctif de sécurité KB 2145343 sur Windows
- VMware vCenter Server versions 6.0.x antérieures à 6.0.0b sur Linux
- VMware vCloud Director versions 5.5.x antérieures à 5.5.6.1 sur Linux
- VMware vCloud Director versions 5.6.x antérieures à 5.6.5.1 sur Linux
- VMware vCloud Director versions 8.0.x antérieures à 8.0.1.1 sur Linux
- VMware vSphere Replication versions 5.6.x antérieures à 5.6.0.6 sur Linux
- VMware vSphere Replication versions 5.8.x antérieures à 5.8.1.2 sur Linux
- VMware vSphere Replication versions 6.0.x antérieures à 6.0.0.3 sur Linux
- VMware Workstation versions 11.x.x antérieures à 11.1.3 sur Windows
Résumé
De multiples vulnérabilités ont été corrigées dans les produits VMware. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une élévation de privilèges.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité VMware VMSA-2016-0005 du 17 mai 2016 http://www.vmware.com/security/advisories/VMSA-2016-0005.html
- Référence CVE CVE-2016-2077 https://www.cve.org/CVERecord?id=CVE-2016-2077
- Référence CVE CVE-2016-3427 https://www.cve.org/CVERecord?id=CVE-2016-3427