Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Exécution de code arbitraire
Systèmes affectés
- ESXi versions 7.0 sans le correctif de sécurité ESXi70U3p-23307199
- ESXi versions 8.0 sans les correctifs de sécurité ESXi80U1d-23299997 et ESXi80U2sb-23305545
- Fusion versions 13.x antérieures à 13.5.1 sur MacOS
- VMware Cloud Foundation (ESXi) versions 5.x et 4.x sans le correctif de sécurité KB88287
- Workstation versions 17.x antérieures à 17.5.1
Résumé
De multiples vulnérabilités ont été découvertes dans les produits VMware. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données.
Solution
Se référer aux mesures de contournement proposées par l’éditeur (cf. section Documentation).
Contournement provisoire
Se référer au bulletin de sécurité de l'éditeur pour les mesures de contournement (cf. section Documentation).
Documentation
- Bulletin de sécurité VMware VMSA-2024-0006 du 05 mars 2024 https://www.vmware.com/security/advisories/VMSA-2024-0006.html
- How to remove USB controllers from a Virtual Machine https://kb.vmware.com/s/article/96682
- Référence CVE CVE-2024-22252 https://www.cve.org/CVERecord?id=CVE-2024-22252
- Référence CVE CVE-2024-22253 https://www.cve.org/CVERecord?id=CVE-2024-22253
- Référence CVE CVE-2024-22254 https://www.cve.org/CVERecord?id=CVE-2024-22254
- Référence CVE CVE-2024-22255 https://www.cve.org/CVERecord?id=CVE-2024-22255
