Risques
- Contournement de la politique de sécurité
- Déni de service à distance
Systèmes affectés
- VMware Cloud Foundation versions 4.x et 5.x
- VMWare ESXi versions 7.0.x
- VMWare ESXi versions 7.0.x sans le correctif de sécurité ESXi70U3sq-23794019 pour la vulnérabilité CVE-2024-37086
- VMWare ESXi versions 8.0.x sans le correctif de sécurité ESXi80U3-24022510
- VMware vCenter Server versions 7.0.x antérieures à 7.0 U3q
- VMware vCenter Server versions 8.0.x antérieures à 8.0 U3
L'éditeur indique que les versions 7.0.x d'ESXi et 4.x de Cloud Foundation ne bénéficieront pas de correctif de sécurité pour la vulnérabilité CVE-2024-37085. Ces versions bénéficient d'un correctif (ESXi70U3sq-23794019) pour la vulnérabilité CVE-2024-37086. Des correctifs sont prévus pour les trois vulnérabilités pour les versions 5.x de VMware Cloud Foundation.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits VMware. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, un contournement de la politique de sécurité et un déni de service.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité VMware 24505 (VMSA-2024-0013) du 25 juin 2024 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24505
- Référence CVE CVE-2024-37085 https://www.cve.org/CVERecord?id=CVE-2024-37085
- Référence CVE CVE-2024-37086 https://www.cve.org/CVERecord?id=CVE-2024-37086
- Référence CVE CVE-2024-37087 https://www.cve.org/CVERecord?id=CVE-2024-37087
