VMware a averti les clients de corriger immédiatement les vulnérabilités critiques de plusieurs produits que les pirates pourraient utiliser pour lancer des attaques d’exécution de code à distance.
« Cette vulnérabilité critique doit être corrigée ou atténuée immédiatement conformément aux instructions de VMSA-2021-0011. Les ramifications de cette vulnérabilité sont graves », a déclaré VMware. averti mercredi.
« Tous les environnements sont différents, ont une tolérance au risque différente et ont des contrôles de sécurité et une défense en profondeur différents pour atténuer les risques, de sorte que les clients doivent prendre leurs propres décisions sur la façon de procéder. Cependant, compte tenu de la gravité de la vulnérabilité, nous avons fortement recommander une action immédiate. »
Correctifs pour cinq vulnérabilités critiques
La liste des failles de sécurité critiques corrigées aujourd’hui comprend une vulnérabilité d’exécution de code à distance par injection de modèle côté serveur (CVE-2022-22954), deux vulnérabilités de contournement d’authentification OAuth2 ACS (CVE-2022-22955, CVE-2022-22956) et deux JDBC vulnérabilités d’exécution de code à distance par injection (CVE-2022-22957, CVE-2022-22958).
VMware a également corrigé des bugs de gravité élevée et moyenne qui pourraient être exploités pour des attaques de falsification de requête intersite (CSRF) (CVE-2022-22959), élever les privilèges (CVE-2022-22960) et accéder à des informations sans autorisation (CVE- 2022-22961).
La liste complète des produits VMware concernés par ces vulnérabilités de sécurité comprend :
- Accès à VMware Workspace ONE (accès)
- Gestionnaire d’identité VMware (vIDM)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation
- Gestionnaire de cycle de vie vRealize Suite
La société a ajouté qu’elle n’avait trouvé aucune preuve de l’exploitation de ces bugs dans la nature avant avis de sécurité d’aujourd’hui a été publié.
Site Web de la base de connaissances de VMware a également une liste complète des versions corrigées et des liens de téléchargement vers les installateurs de correctifs.
Solution de contournement également disponible
VMware fournit également des solutions de contournement pour ceux qui ne peuvent pas corriger immédiatement leurs appliances en tant que solution temporaire. Les étapes détaillées ici exiger des administrateurs qu’ils exécutent un script basé sur Python fourni par VMware sur les appliances virtuelles concernées.
Cependant, la société affirme que la seule façon de supprimer entièrement les vulnérabilités est d’appliquer les correctifs.
« Les solutions de contournement, bien que pratiques, ne suppriment pas les vulnérabilités et peuvent introduire des complexités supplémentaires que les correctifs ne feraient pas », a ajouté VMware.
« Bien que la décision de corriger ou d’utiliser la solution de contournement vous appartienne, VMware recommande toujours fortement l’application de correctifs comme le moyen le plus simple et le plus fiable de résoudre ce problème. »
Un document contenant des questions et réponses supplémentaires concernant les vulnérabilités critiques corrigées aujourd’hui est disponible ici.
Lundi, VMware a également publié des mises à jour de sécurité pour corriger la faille critique Spring4Shell RCE dans VMware Tanzu Application Service for VMs, VMware Tanzu Operations Manager et VMware Tanzu Kubernetes Grid Integrated Edition (TKGI)/