Bulletins de sécurité

Parfois, nous pouvons être amenés à publier des bulletins de sécurité relatifs à Google Cloud VMware Engine. Tous sont décrits sur cette page.

Utilisez ce flux XML pour vous abonner aux bulletins de sécurité de la présente page. S'abonner

GCP-2023-034

Date de publication:25-10-2023

Mise à jour:27-10-2023

Description Niveau de gravité Notes

VMware a révélé plusieurs failles dans VMSA-2023-0023 qui ont un impact sur les composants vCenter déployés dans les environnements client.

Impact sur Google Cloud VMware Engine

  • La faille peut être exploitée en accédant à des ports spécifiques de vCenter Server. Ces ports ne sont pas exposés à l'Internet public.
  • Si les ports vCenter 2012/tcp, 2014/tcp et 2020/tcp ne sont pas accessibles par des systèmes non approuvés, vous n'êtes pas exposé à cette faille.
  • Google a déjà bloqué les ports vulnérables sur le serveur vCenter, empêchant ainsi toute exploitation potentielle de cette faille.
  • De plus, Google s'assurera que les futurs déploiements du serveur vCenter ne seront pas exposés à cette faille.
  • Au moment de la publication de ce bulletin, VMware n'a eu connaissance d'aucune exploitation "dans la nature". Reportez-vous à la documentation de VMware pour en savoir plus.

Que dois-je faire ?

Aucune autre action n'est requise pour le moment

Critique

GCP-2023-027

Date de publication:11-09-2023
Description Niveau de gravité Notes

Les mises à jour de VMware vCenter Server corrigent plusieurs failles de corruption de mémoire (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896).

Impact sur VMware Engine

VMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation).

Que dois-je faire ?

Les clients ne sont pas affectés et aucune action n'est requise de votre part.

Moyenne

GCP-2023-025

Date de publication:08-08-2023
Description Niveau de gravité Notes

Intel a récemment annoncé l'arrivée d'Intel Security Advisory INTEL-SA-00828, qui affectera certaines de ses familles de processeurs. Nous vous encourageons à évaluer vos risques sur la base de ces conseils.

Impact sur VMware Engine

Notre parc utilise les familles de processeurs concernés. Dans notre déploiement, le serveur entier est dédié à un seul client. Par conséquent, notre modèle de déploiement n'ajoute aucun risque supplémentaire à votre évaluation de cette faille.

Au cours des prochaines semaines, nous travaillons avec nos partenaires pour obtenir les correctifs nécessaires et les déploierons de manière prioritaire sur l'ensemble du parc en suivant le processus de mise à niveau standard.

Que dois-je faire ?

Aucune action n'est requise de votre part. Nous mettons tout en œuvre pour mettre à niveau tous les systèmes concernés.

Importante

GCP-2021-023

Date de publication:21-09-2021
Description Niveau de gravité Notes

Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau).

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

Critique

GCP-2021-010

Date de publication : 2021-05-25
Description Niveau de gravité Notes

Selon l'avis de sécurité VMware VMSA-2021-0010, les failles liées à l'exécution du code distant et au contournement de l'authentification du client vSphere (HTML5) ont été signalées à VMware de manière privée. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les correctifs fournis par VMware pour la pile vSphere conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans les documents CVE-2021-21985 et CVE-2021-21986. Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent aucune modification pour le moment, indiquant que les correctifs ont été appliqués. Sachez que les correctifs appropriés ont été installés et que votre environnement est protégé contre ces failles.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

Critique

GCP-2021-002

Date de publication : 05/03/2021
Description Niveau de gravité Notes

Conformément à l'avis de sécurité VMware VMSA-2021-0002, VMware a reçu des rapports concernant plusieurs failles dans VMware ESXi et le client vSphere (HTML5). VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les solutions de contournement officiellement décrites pour la pile vSphere conformément à l'avis de sécurité de VMware. Cette mise à jour concerne les failles de sécurité décrites dans les documents CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

Critique