Bulletins de sécurité

Conformément à l'avis de sécurité VMware VMSA-2024-0021, une faille d'injection SQL authentifiée dans VMware HCX a été signalée à VMware de manière privée.

Nous avons appliqué les mesures d'atténuation approuvées par VMware pour corriger cette faille. Ce correctif corrige une faille de sécurité décrite dans CVE-2024-38814. Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent aucune modification pour le moment pour indiquer les modifications appliquées. Des mesures d'atténuation appropriées ont été installées et votre environnement est protégé contre cette faille.

Que dois-je faire ?

Nous vous recommandons de passer à la version 4.9.2 de VMware HCX.

• VMSA-2024-0021
• CVE-2024-38814

VMware a divulgué plusieurs failles dans VMSA-2024-0019 qui ont un impact sur les composants vCenter déployés dans les environnements clients.

Impact sur VMware Engine

• Google a déjà désactivé toute exploitation potentielle de cette faille. Par exemple, Google a bloqué les ports par lesquels cette vulnérabilité pourrait être exploitée.
• De plus, Google s'assure que les futurs déploiements de vCenter ne sont pas exposés à cette faille.

Que dois-je faire ?

Aucune action supplémentaire n'est requise de votre part pour le moment.

• CVE-2024-38812
• CVE-2024-38813

Une faille CVE-2024-6387 a été découverte sur le serveur OpenSSH (sshd). Cette faille peut être exploitée à distance sur les systèmes Linux basés sur glibc: une exécution de code à distance non authentifiée en tant que racine, car elle affecte code privilégié de sshd, qui n'est pas mis en bac à sable et s'exécute avec tous les privilèges.

Au moment de la publication, l'exploitation est considérée comme difficile et nécessite de remporter une condition de concurrence difficile à exploiter peut prendre plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Que dois-je faire ?

1. Appliquez les mises à jour des distributions Linux à vos charges de travail dès qu'elles sont disponibles. Reportez-vous aux conseils des distributions Linux.
2. Si la mise à jour n'est pas possible, envisagez de désactiver OpenSSH jusqu'à il peut être corrigé.
3. Si OpenSSH doit être laissé activé, vous pouvez également exécuter une configuration qui élimine la condition de cas de concurrence pour l'exploit. Il s'agit d'une atténuation de l'exécution. Pour appliquer les modifications dans la configuration sshd, ce script redémarrera le service sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
             

4. Enfin, surveillez toute activité réseau inhabituelle impliquant des serveurs SSH.

• CVE-2024-6387
• Réponse de Broadcom concernant VMware Cloud Foundation

VMware a divulgué plusieurs failles dans VMSA-2024-0012. ayant un impact sur les composants vCenter déployés dans les environnements clients.

Impact sur VMware Engine

• La faille peut être exploitée en accédant à des ports spécifiques dans vCenter Server. Google a déjà bloqué les ports vulnérables sur vCenter ce qui empêche toute exploitation potentielle de cette vulnérabilité.
• De plus, Google s'assure que tous les futurs déploiements de vCenter ne sont pas exposés à cette faille.

Que dois-je faire ?

Aucune action supplémentaire n'est requise de votre part pour le moment.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

VMware a divulgué plusieurs failles dans VMSA-2024-0006 qui sur les composants ESXi déployés dans les environnements clients.

Impact sur VMware Engine

Vos clouds privés ont été mis à jour pour corriger la faille de sécurité.

Que dois-je faire ?

Aucune action n'est requise de votre part.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

VMware a divulgué plusieurs failles dans l'avis de sécurité VMSA-2023-0023 qui affectent les composants vCenter déployés dans les environnements client.

Impact sur VMware Engine

• La faille peut être exploitée en accédant à des ports spécifiques dans vCenter Server. Ces ports ne sont pas exposés au public à Internet.
• Si les ports vCenter 2012/tcp, 2014/tcp et 2020/tcp ne sont pas accessibles par des systèmes non approuvés, vous n'êtes pas exposé à cette faille.
• Google a déjà bloqué les ports vulnérables sur vCenter Server, ce qui empêche toute exploitation potentielle de cette vulnérabilité.
• En outre, Google veillera à ce que tous les futurs déploiements de vCenter soient ne sont pas exposés à cette faille.
• Au moment de la rédaction de ce bulletin, VMware n'a connaissance d'aucune exploitation "dans la nature". Pour en savoir plus, consultez la documentation VMware.

Que dois-je faire ?

Aucune autre action n'est requise pour le moment.

• CVE-2023-34048, CVE-2023-34056

Les mises à jour de VMware vCenter Server corrigent plusieurs failles de corruption de mémoire (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impact sur VMware Engine

VMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation).

Que dois-je faire ?

Les clients ne sont pas concernés, et aucune mesure n'est requise.

• CVE-2023-20893

Intel a récemment annoncé l'avis de sécurité Intel INTEL-SA-00828 qui concerne certaines de ses familles de processeurs. Nous vous encourageons à évaluer vos risques sur la base de cet avis.

Impact sur VMware Engine

Notre flotte utilise les familles de processeurs concernées. Dans notre déploiement, l'ensemble du serveur est dédié à un seul client. Par conséquent, notre modèle de déploiement n'ajoute aucun risque supplémentaire à votre évaluation de cette faille.

Nous collaborons avec nos partenaires pour obtenir les correctifs nécessaires et les déploierons en priorité dans l'ensemble de la flotte à l'aide du processus de mise à niveau standard au cours des prochaines semaines.

Que dois-je faire ?

Aucune action n'est requise de votre part. Nous mettons tout en œuvre pour mettre à niveau les systèmes concernés.

• CVE-2022-40982

Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau).

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Selon l'avis de sécurité VMware VMSA-2021-0010, les failles liées à l'exécution du code distant et au contournement de l'authentification du client vSphere (HTML5) ont été signalées à VMware de manière privée. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les correctifs fournis par VMware pour la pile vSphere conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans les documents CVE-2021-21985 et CVE-2021-21986. La des versions d'image exécutées dans votre VMware Engine n'affichent aucun changement pour le moment pour indiquer les correctifs appliquée. Sachez que les correctifs appropriés ont été installés et que votre environnement est protégé contre ces failles.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Conformément à l'avis de sécurité VMware VMSA-2021-0002, VMware a reçu des rapports concernant plusieurs failles dans VMware ESXi et le client vSphere (HTML5). VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les solutions de contournement officiellement décrites pour la pile vSphere conformément à l'avis de sécurité de VMware. Cette mise à jour concerne les failles de sécurité décrites dans les documents CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Nous vous recommandons de passer à la dernière version de HCX.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974