Multiples vulnérabilités dans les produits VMware

Gestion du document

Référence	CERTFR-2024-AVI-0186
Titre	Multiples vulnérabilités dans les produits VMware
Date de la première version	06 mars 2024
Date de la dernière version	06 mars 2024
Source(s)	Bulletin de sécurité VMware VMSA-2024-0006 du 05 mars 2024
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Exécution de code arbitraire

Systèmes affectés

ESXi versions 7.0 sans le correctif de sécurité ESXi70U3p-23307199
ESXi versions 8.0 sans les correctifs de sécurité ESXi80U1d-23299997 et ESXi80U2sb-23305545
Workstation versions 17.x antérieures à 17.5.1
Fusion versions 13.x antérieures à 13.5.1 sur MacOS
VMware Cloud Foundation (ESXi) versions 5.x et 4.x sans le correctif de sécurité KB88287

Résumé

De multiples vulnérabilités ont été découvertes dans les produits VMware. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données.

Contournement provisoire

Se référer au bulletin de sécurité de l'éditeur pour les mesures de contournement (cf. section Documentation).

Solution

Se référer aux mesures de contournement proposées par l’éditeur (cf. section Documentation).

Documentation

Bulletin de sécurité VMware VMSA-2024-0006 du 05 mars 2024
https://www.vmware.com/security/advisories/VMSA-2024-0006.html
How to remove USB controllers from a Virtual Machine
https://kb.vmware.com/s/article/96682
Référence CVE CVE-2024-22252
https://www.cve.org/CVERecord?id=CVE-2024-22252
Référence CVE CVE-2024-22253
https://www.cve.org/CVERecord?id=CVE-2024-22253
Référence CVE CVE-2024-22254
https://www.cve.org/CVERecord?id=CVE-2024-22254
Référence CVE CVE-2024-22255
https://www.cve.org/CVERecord?id=CVE-2024-22255

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits VMware