Multiples vulnérabilités dans les produits VMware

Gestion du document

Référence	CERTFR-2016-AVI-198
Titre	Multiples vulnérabilités dans les produits VMware
Date de la première version	10 juin 2016
Date de la dernière version	10 juin 2016
Source(s)	Bulletin de sécurité VMware VMSA-2016-0007 du 09 juin 2016 Bulletin de sécurité VMware VMSA-2016-0008 du 09 juin 2016
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

atteinte à la confidentialité des données
injection de code indirecte à distance
injection de requêtes illégitimes par rebond

Systèmes affectés

VMware NSX Edge versions 6.2.x antérieures à 6.2.3
VMware NSX Edge versions 6.1.x antérieures à 6.1.7
VMware vCNS Edge versions 5.5.x antérieures à 5.5.4.3
VMware vRealize Log Insight versions antérieures à 3.3.2

Résumé

De multiples vulnérabilités ont été corrigées dans les produits VMware. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de code indirecte à distance (XSS) et une injection de requêtes illégitimes par rebond (CSRF).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité VMware VMSA-2016-0007 du 09 juin 2016

http://www.vmware.com/security/advisories/VMSA-2016-0007.html

Bulletin de sécurité VMware VMSA-2016-0008 du 09 juin 2016

http://www.vmware.com/security/advisories/VMSA-2016-0008.html

Référence CVE CVE-2016-2079

https://www.cve.org/CVERecord?id=CVE-2016-2079

Référence CVE CVE-2016-2081

https://www.cve.org/CVERecord?id=CVE-2016-2081

Référence CVE CVE-2016-2082

https://www.cve.org/CVERecord?id=CVE-2016-2082

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits VMware