Multiples vulnérabilités dans les produits VMware

Risques

Atteinte à la confidentialité des données
Exécution de code arbitraire à distance
Injection de code indirecte à distance (XSS)
Élévation de privilèges

Systèmes affectés

Cloud Foundation (ESXi) versions 3.x sans le correctif de sécurité KB88927
Cloud Foundation (ESXi) versions 4.x sans le correctif de sécurité KB88695
Cloud Foundation (vCenter Server) versions 3.x
Cloud Foundation (vCenter Server) versions 4.x sans le correctif de sécurité KB88287
ESXi version 6.5 sans le correctif de sécurité ESXi650-202207401-SG
ESXi version 6.7 sans le correctif de sécurité ESXi670-202207401-SG
ESXi version 7.0 sans le correctif de sécurité ESXi70U3sf-20036586
vCenter Server version 6.5 antérieure à 6.5 U3t
vCenter Server version 6.7 antérieure à 6.7 U3r
vCenter Server version 7.0 antérieure à 7.0 U3f
VMware vRealize Log Insight versions 8.x antérieures à 8.8.2

Résumé

De multiples vulnérabilités ont été découvertes dans les produits VMware. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité VMware VMSA-2021-0025 mis à jour le 12 juillet 2022

https://www.vmware.com/security/advisories/VMSA-2021-0025.html

Bulletin de sécurité VMware VMSA-2022-0018 du 12 juillet 2022

https://www.vmware.com/security/advisories/VMSA-2022-0018.html

Bulletin de sécurité VMware VMSA-2022-0019 du 12 juillet 2022

https://www.vmware.com/security/advisories/VMSA-2022-0019.html

Bulletin de sécurité VMware VMSA-2022-0020 du 12 juillet 2022

https://www.vmware.com/security/advisories/VMSA-2022-0020.html

Référence CVE CVE-2021-22048

https://www.cve.org/CVERecord?id=CVE-2021-22048

Référence CVE CVE-2022-22982

https://www.cve.org/CVERecord?id=CVE-2022-22982

Référence CVE CVE-2022-23816

https://www.cve.org/CVERecord?id=CVE-2022-23816

Référence CVE CVE-2022-23825

https://www.cve.org/CVERecord?id=CVE-2022-23825

Référence CVE CVE-2022-28693

https://www.cve.org/CVERecord?id=CVE-2022-28693

Référence CVE CVE-2022-29901

https://www.cve.org/CVERecord?id=CVE-2022-29901

Référence CVE CVE-2022-31654

https://www.cve.org/CVERecord?id=CVE-2022-31654

Référence CVE CVE-2022-31655

https://www.cve.org/CVERecord?id=CVE-2022-31655

Référence	CERTFR-2022-AVI-638
Titre	Multiples vulnérabilités dans les produits VMware
Date de la première version	15 juillet 2022
Date de la dernière version	15 juillet 2022
Source(s)	Bulletin de sécurité VMware VMSA-2021-0025 mis à jour le 12 juillet 2022 Bulletin de sécurité VMware VMSA-2022-0018 du 12 juillet 2022 Bulletin de sécurité VMware VMSA-2022-0019 du 12 juillet 2022 Bulletin de sécurité VMware VMSA-2022-0020 du 12 juillet 2022
Pièce(s) jointe(s)	Aucune(s)

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits VMware

Gestion du document

Risques

Systèmes affectés

Résumé

Solution

Documentation

Gestion détaillée du document