Objet: Multiples vulnérabilités dans les produits VMware

Risque(s)

• Atteinte à la confidentialité des données
• Déni de service à distance
• Exécution de code arbitraire à distance
• Élévation de privilèges
• Contournement de la politique de sécurité
• Atteinte à l'intégrité des données

Systèmes affectés

• Canonical Ubuntu 16.04
• Canonical Ubuntu 18.04
• Canonical Ubuntu 22.04
• Operations Manager versions 2.10.x antérieures à 2.10.51
• Operations Manager versions 3.0.x antérieures à 3.0.4
• Platform Automation Toolkit versions 4.0.x antérieures à to 4.0.13
• Platform Automation Toolkit versions 4.1.x antérieures à 4.1.13
• Platform Automation Toolkit versions 4.2.x antérieures à 4.2.8
• Platform Automation Toolkit versions 4.3.x versions antérieures à 4.3.5
• Platform Automation Toolkit versions 4.4.x versions antérieures à 4.4.30
• Platform Automation Toolkit versions 5.0.x versions antérieures à 5.0.23
• Platform Automation Toolkit versions 5.1.x versions antérieures à 5.1.0
• Isolation Segment versions 2.11.x antérieures à 2.11.29
• Isolation Segment versions 2.12.x antérieures à 2.12.19
• Isolation Segment versions 2.13.x antérieures à 2.13.14
• Isolation Segment versions 3.0.x antérieures à 3.0.7 (avec Jammy Stemcells versions antérieures à 1.80)
• VMware Tanzu Application Service for VMs versions 2.11.x antérieures à 2.11.35
• VMware Tanzu Application Service for VMs versions 2.12.x antérieures à 2.12.24
• VMware Tanzu Application Service for VMs versions 2.13.x antérieures à 2.13.17
• VMware Tanzu Application Service for VMs versions 3.0.x antérieures à 3.0.7 (avec Jammy Stemcells versions 1.80)
• Tanzu Greenplum for Kubernetes versions antérieures à 1.4.0

Résumé

De multiples vulnérabilités ont été découvertes dans VMware. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges, un déni de service à distance et une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité VMware USN-5821-1 du 13 avril 2023
  https://tanzu.vmware.com/security/usn-5821-1
• Bulletin de sécurité VMware USN-5811-1 du 13 avril 2023
  https://tanzu.vmware.com/security/usn-5811-1
• Bulletin de sécurité VMware USN-5807-1 du 13 avril 2023
  https://tanzu.vmware.com/security/usn-5807-1
• Bulletin de sécurité VMware USN-5806-2 du 13 avril 2023
  https://tanzu.vmware.com/security/usn-5806-2
• Bulletin de sécurité VMware USN-5806-1 du 13 avril 2023
  https://tanzu.vmware.com/security/usn-5801-1
• Bulletin de sécurité VMware USN-5801-1 du 13 avril 2023
  https://tanzu.vmware.com/security/usn-5795-2
• Bulletin de sécurité VMware USN-5795-2 du 13 avril 2023
  https://tanzu.vmware.com/security/usn-5787-2
• Bulletin de sécurité VMware USN-5795-1 du 13 avril 2023
  https://tanzu.vmware.com/security/usn-5787-1
• Bulletin de sécurité VMware USN-5787-2 du 13 avril 2023
  https://tanzu.vmware.com/security/usn-5772-1
• Bulletin de sécurité VMware USN-5787-1 du 13 avril 2023
  https://tanzu.vmware.com/security/usn-5767-1
• Bulletin de sécurité VMware USN-5787-1 du 12 avril 2023
  https://tanzu.vmware.com/security/usn-5765-1
• Référence CVE CVE-2021-23222
  https://www.cve.org/CVERecord?id=CVE-2021-23222
• Référence CVE CVE-2021-33621
  https://www.cve.org/CVERecord?id=CVE-2021-33621
• Référence CVE CVE-2021-3682
  https://www.cve.org/CVERecord?id=CVE-2021-3682
• Référence CVE CVE-2021-3750
  https://www.cve.org/CVERecord?id=CVE-2021-3750
• Référence CVE CVE-2021-3930
  https://www.cve.org/CVERecord?id=CVE-2021-3930
• Référence CVE CVE-2022-0216
  https://www.cve.org/CVERecord?id=CVE-2022-0216
• Référence CVE CVE-2022-0392
  https://www.cve.org/CVERecord?id=CVE-2022-0392
• Référence CVE CVE-2022-0417
  https://www.cve.org/CVERecord?id=CVE-2022-0417
• Référence CVE CVE-2022-24805
  https://www.cve.org/CVERecord?id=CVE-2022-24805
• Référence CVE CVE-2022-24806
  https://www.cve.org/CVERecord?id=CVE-2022-24806
• Référence CVE CVE-2022-24807
  https://www.cve.org/CVERecord?id=CVE-2022-24807
• Référence CVE CVE-2022-24808
  https://www.cve.org/CVERecord?id=CVE-2022-24808
• Référence CVE CVE-2022-24809
  https://www.cve.org/CVERecord?id=CVE-2022-24809
• Référence CVE CVE-2022-24810
  https://www.cve.org/CVERecord?id=CVE-2022-24810
• Référence CVE CVE-2022-2962
  https://www.cve.org/CVERecord?id=CVE-2022-2962
• Référence CVE CVE-2022-3165
  https://www.cve.org/CVERecord?id=CVE-2022-3165
• Référence CVE CVE-2022-33070
  https://www.cve.org/CVERecord?id=CVE-2022-33070
• Référence CVE CVE-2022-37454
  https://www.cve.org/CVERecord?id=CVE-2022-37454
• Référence CVE CVE-2022-40898
  https://www.cve.org/CVERecord?id=CVE-2022-40898
• Référence CVE CVE-2022-44617
  https://www.cve.org/CVERecord?id=CVE-2022-44617
• Référence CVE CVE-2022-44792
  https://www.cve.org/CVERecord?id=CVE-2022-44792
• Référence CVE CVE-2022-44793
  https://www.cve.org/CVERecord?id=CVE-2022-44793
• Référence CVE CVE-2022-45061
  https://www.cve.org/CVERecord?id=CVE-2022-45061
• Référence CVE CVE-2022-46285
  https://www.cve.org/CVERecord?id=CVE-2022-46285
• Référence CVE CVE-2022-47629
  https://www.cve.org/CVERecord?id=CVE-2022-47629
• Référence CVE CVE-2022-4883
  https://www.cve.org/CVERecord?id=CVE-2022-4883
• Référence CVE CVE-2023-22809
  https://www.cve.org/CVERecord?id=CVE-2023-22809