Risque(s)
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Exécution de code arbitraire
Systèmes affectés
- ESXi versions 7.0 sans le correctif de sécurité ESXi70U3p-23307199
- ESXi versions 8.0 sans les correctifs de sécurité ESXi80U1d-23299997 et ESXi80U2sb-23305545
- Workstation versions 17.x antérieures à 17.5.1
- Fusion versions 13.x antérieures à 13.5.1 sur MacOS
- VMware Cloud Foundation (ESXi) versions 5.x et 4.x sans le correctif de sécurité KB88287
Résumé
De multiples vulnérabilités ont été découvertes dans les produits VMware. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une atteinte à la confidentialité des données et une atteinte à l'intégrité des données.
Contournement provisoire
Se référer au bulletin de sécurité de l'éditeur pour les mesures de contournement (cf. section Documentation).
Solution
Se référer aux mesures de contournement proposées par l’éditeur (cf. section Documentation).
Documentation
- Bulletin de sécurité VMware VMSA-2024-0006 du 05 mars 2024
https://www.vmware.com/security/advisories/VMSA-2024-0006.html -
How to remove USB controllers from a Virtual Machine
https://kb.vmware.com/s/article/96682 - Référence CVE CVE-2024-22252
https://www.cve.org/CVERecord?id=CVE-2024-22252 - Référence CVE CVE-2024-22253
https://www.cve.org/CVERecord?id=CVE-2024-22253 - Référence CVE CVE-2024-22254
https://www.cve.org/CVERecord?id=CVE-2024-22254 - Référence CVE CVE-2024-22255
https://www.cve.org/CVERecord?id=CVE-2024-22255