Risques
- Atteinte à la confidentialité des données
- Exécution de code arbitraire
Systèmes affectés
- Identity Manager (vIDM)
- vCenter Server (vCSA)
- vCloud Usage Meter (UM)
- VMware ESXi version 5.5 sans les correctifs de sécurité ESXi550-201808401-BG, ESXi550-201808402-BG et ESXi550-201808403-BG
- VMware ESXi version 6.0 sans les correctifs de sécurité ESXi600-201808401-BG, ESXi600-201808402-BG et ESXi600-201808403-BG
- VMware ESXi version 6.5 sans les correctifs de sécurité ESXi650-201808401-BG, ESXi650-201808402-BG et ESXi650-201808403-BG
- VMware ESXi version 6.7 sans les correctifs de sécurité ESXi670-201808401-BG, ESXi670-201808402-BG et ESXi670-201808403-BG
- VMware Fusion versions 10.x pour OS X antérieures à 10.1.3
- VMware VC versions 5.5 antérieures à 5.5u3j
- VMware VC versions 6.0 antérieures à 6.0u3h
- VMware VC versions 6.5 antérieures à 6.5u2c
- VMware VC versions 6.7 antérieures à 6.7.0d
- VMware Workstation versions 14.x antérieures à 14.1.3
- vRealize Automation (vRA)
- vSphere Data Protection (VDP)
- vSphere Integrated Containers (VIC)
Résumé
De multiples vulnérabilités ont été découvertes dans les produits VMware. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Contournement provisoire
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des contournements provisoires (cf. section Documentation).
Documentation
- Bulletin de sécurité VMware VMSA-2018-0020 du 14 août 2018 https://www.vmware.com/security/advisories/VMSA-2018-0020.html
- Bulletin de sécurité VMware VMSA-2018-0021 du 14 août 2018 https://www.vmware.com/security/advisories/VMSA-2018-0021.html
- Bulletin de sécurité VMware VMSA-2018-0022 du 14 août 2018 https://www.vmware.com/security/advisories/VMSA-2018-0022.html
- Référence CVE CVE-2018-3620 https://www.cve.org/CVERecord?id=CVE-2018-3620
- Référence CVE CVE-2018-3646 https://www.cve.org/CVERecord?id=CVE-2018-3646
- Référence CVE CVE-2018-6973 https://www.cve.org/CVERecord?id=CVE-2018-6973