S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 23 août 2024
N° CERTFR-2024-AVI-0713
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits VMware

Gestion du document

Référence CERTFR-2024-AVI-0713
Titre Multiples vulnérabilités dans les produits VMware
Date de la première version23 août 2024
Date de la dernière version23 août 2024
Source(s) Bulletin de sécurité VMware 24703 du 22 août 2024
Bulletin de sécurité VMware 24704 du 22 août 2024
Bulletin de sécurité VMware 24722 du 22 août 2024
Bulletin de sécurité VMware 24724 du 22 août 2024
Bulletin de sécurité VMware 24726 du 22 août 2024
Bulletin de sécurité VMware 24728 du 22 août 2024
Bulletin de sécurité VMware 24729 du 22 août 2024
Bulletin de sécurité VMware 24730 du 22 août 2024
Bulletin de sécurité VMware 24731 du 22 août 2024
Bulletin de sécurité VMware 24746 du 22 août 2024
Bulletin de sécurité VMware 24749 du 22 août 2024
Bulletin de sécurité VMware 24750 du 22 août 2024
Bulletin de sécurité VMware 24754 du 22 août 2024
Bulletin de sécurité VMware 24757 du 22 août 2024
Bulletin de sécurité VMware 24758 du 22 août 2024
Bulletin de sécurité VMware 24759 du 22 août 2024
Bulletin de sécurité VMware 24760 du 22 août 2024
Bulletin de sécurité VMware 24761 du 22 août 2024
Bulletin de sécurité VMware 24762 du 22 août 2024
Bulletin de sécurité VMware 24763 du 22 août 2024
Bulletin de sécurité VMware 24790 du 22 août 2024
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)
  • Non spécifié par l'éditeur
  • Élévation de privilèges

Systèmes affectés

  • CF Deployment versions antérieures à 41.0.0
  • Cflinuxfs3 versions antérieures à 0.390.0
  • Cflinuxfs4 versions antérieures à 1.99.0
  • Jammy Stemcells versions antérieures à 1.486
  • Operations Manager Image versions 2.10.x antérieures à 2.10.75
  • Operations Manager Image versions 2.7.x antérieures à 2.7.25
  • Operations Manager Image versions 2.8.x antérieures à 2.8.16
  • Operations Manager Image versions 3.x LTS-T antérieures à 3.0.30+LTS-T
  • Operations Manager versions 2.10.x antérieures à 2.10.75
  • Operations Manager versions 2.7.x antérieures à 2.7.25
  • Operations Manager versions 2.8.x antérieures à 2.8.16
  • Operations Manager versions 2.9.x antérieures à 2.9.12
  • Operations Manager versions 3.x LTS-T antérieures à 3.0.30+LTS-T
  • Platform Automation Toolkit versions 4.0.x antérieures à 4.0.13
  • Platform Automation Toolkit versions 4.1.x antérieures à 4.1.13
  • Platform Automation Toolkit versions 4.2.x antérieures à 4.2.8
  • Platform Automation Toolkit versions 4.3.x antérieures à 4.3.5
  • Platform Automation Toolkit versions 4.4.x antérieures à 4.4.32
  • Platform Automation Toolkit versions 5.0.x antérieures à 5.0.25
  • Platform Automation Toolkit versions 5.1.x antérieures à 5.1.2
  • Tanzu Greenplum pour Kubernetes versions 1.x antérieures à 1.2.0
  • Tanzu Greenplum pour Kubernetes versions 2.x antérieures à 2.0.0
  • Xenial Stemcells versions antérieures à 621.969

Résumé

De multiples vulnérabilités ont été découvertes dans les produits VMware. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une élévation de privilèges et une injection de code indirecte à distance (XSS).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 23 août 2024
    Version initiale