Bulletins de sécurité

Parfois, nous pouvons être amenés à publier des bulletins de sécurité relatifs à Google Cloud VMware Engine. Tous sont décrits sur cette page.

Utilisez ce flux XML pour vous abonner aux bulletins de sécurité de la présente page.

GCP-2024-016

Date de publication : 05-03-2024

Description	Niveau de gravité	Notes
VMware a révélé dans le document VMSA-2024-0006 plusieurs failles qui affectent les composants ESXi déployés dans les environnements des clients. Impact sur Google Cloud VMware Engine Vos clouds privés ont été mis à jour pour corriger cette faille de sécurité. Que dois-je faire ? Aucune action n'est requise de votre part.	Critique	VMSA-2024-0006 CVE-2024-22252 CVE-2024-22253 CVE-2024-22254 CVE-2024-22255

Description

Niveau de gravité

Notes

VMware a révélé dans le document VMSA-2024-0006 plusieurs failles qui affectent les composants ESXi déployés dans les environnements des clients.

Impact sur Google Cloud VMware Engine

Vos clouds privés ont été mis à jour pour corriger cette faille de sécurité.

Que dois-je faire ?

Aucune action n'est requise de votre part.

Critique

GCP-2023-034

Date de publication : 25-10-2023

Mise à jour : 27/10/2023

Description	Niveau de gravité	Notes
VMware a révélé plusieurs failles dans le document VMSA-2023-0023 qui ont une incidence sur les composants vCenter déployés dans les environnements des clients. Impact sur Google Cloud VMware Engine La faille peut être exploitée en accédant à des ports spécifiques dans vCenter Server. Ces ports ne sont pas exposés à l'Internet public. Si les ports vCenter 2012/tcp, 2014/tcp et 2020/tcp ne sont pas accessibles par des systèmes non approuvés, vous n'êtes pas exposé à cette faille. Google a déjà bloqué les ports vulnérables sur le serveur vCenter, ce qui empêche toute exploitation potentielle de cette faille. En outre, Google s'assurera que tous les futurs déploiements du serveur vCenter ne sont pas exposés à cette faille. Au moment de ce bulletin, VMware n'a eu connaissance d'aucune exploitation "dans la nature". Reportez-vous à la documentation de VMware pour en savoir plus. Que dois-je faire ? Aucune autre action n'est requise pour le moment.	Critique	CVE-2023-34048, CVE-2023-34056

Description

Niveau de gravité

Notes

VMware a révélé plusieurs failles dans le document VMSA-2023-0023 qui ont une incidence sur les composants vCenter déployés dans les environnements des clients.

Impact sur Google Cloud VMware Engine

La faille peut être exploitée en accédant à des ports spécifiques dans vCenter Server. Ces ports ne sont pas exposés à l'Internet public.
Si les ports vCenter 2012/tcp, 2014/tcp et 2020/tcp ne sont pas accessibles par des systèmes non approuvés, vous n'êtes pas exposé à cette faille.
Google a déjà bloqué les ports vulnérables sur le serveur vCenter, ce qui empêche toute exploitation potentielle de cette faille.
En outre, Google s'assurera que tous les futurs déploiements du serveur vCenter ne sont pas exposés à cette faille.
Au moment de ce bulletin, VMware n'a eu connaissance d'aucune exploitation "dans la nature". Reportez-vous à la documentation de VMware pour en savoir plus.

Que dois-je faire ?

Aucune autre action n'est requise pour le moment.

Critique

CVE-2023-34048, CVE-2023-34056

GCP-2023-027

Date de publication:11-09-2023

Description	Niveau de gravité	Notes
Les mises à jour VMware vCenter Server corrigent plusieurs failles de corruption de mémoire (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896) Impact sur VMware Engine VMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation). Que dois-je faire ? Les clients ne sont pas affectés et aucune action n'est requise de votre part.	Moyenne	CVE-2023-20893

Description

Niveau de gravité

Notes

Les mises à jour VMware vCenter Server corrigent plusieurs failles de corruption de mémoire (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)

Impact sur VMware Engine

VMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation).

Que dois-je faire ?

Les clients ne sont pas affectés et aucune action n'est requise de votre part.

Moyenne

CVE-2023-20893

GCP-2023-025

Date de publication:08-08-2023

Description	Niveau de gravité	Notes
Intel a récemment annoncé le lancement du service Intel Security Advisory INTEL-SA-00828, qui concerne certaines de ses familles de processeurs. Nous vous encourageons à évaluer vos risques sur la base de ces conseils. Impact sur VMware Engine Notre parc utilise les familles de processeurs impactées. Dans notre déploiement, l'ensemble du serveur est dédié à un seul client. Par conséquent, notre modèle de déploiement n'ajoute aucun risque supplémentaire à votre évaluation de cette faille. Nous collaborons avec nos partenaires pour obtenir les correctifs nécessaires et nous les déploierons en priorité sur l'ensemble du parc en suivant le processus de mise à niveau standard au cours des prochaines semaines. Que dois-je faire ? Aucune action n'est requise de votre part. Nous mettons tout en œuvre pour mettre à niveau tous les systèmes concernés.	Élevée	CVE-2022-40982

Description

Niveau de gravité

Notes

Intel a récemment annoncé le lancement du service Intel Security Advisory INTEL-SA-00828, qui concerne certaines de ses familles de processeurs. Nous vous encourageons à évaluer vos risques sur la base de ces conseils.

Impact sur VMware Engine

Notre parc utilise les familles de processeurs impactées. Dans notre déploiement, l'ensemble du serveur est dédié à un seul client. Par conséquent, notre modèle de déploiement n'ajoute aucun risque supplémentaire à votre évaluation de cette faille.

Nous collaborons avec nos partenaires pour obtenir les correctifs nécessaires et nous les déploierons en priorité sur l'ensemble du parc en suivant le processus de mise à niveau standard au cours des prochaines semaines.

Que dois-je faire ?

Aucune action n'est requise de votre part. Nous mettons tout en œuvre pour mettre à niveau tous les systèmes concernés.

Élevée

CVE-2022-40982

GCP-2021-023

Date de publication:21-09-2021

Description	Niveau de gravité	Notes
Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau). Impact sur VMware Engine D'après nos investigations, aucun client n'a été touché. Que dois-je faire ? Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.	Critique	VMSA-2021-0020 CVE-2021-22005 CVE-2021-22006 CVE-2021-22007 CVE-2021-22008 CVE-2021-22010

Description

Niveau de gravité

Notes

Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau).

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

Critique

GCP-2021-010

Date de publication : 2021-05-25

Description	Niveau de gravité	Notes
Selon l'avis de sécurité VMware VMSA-2021-0010, les failles liées à l'exécution du code distant et au contournement de l'authentification du client vSphere (HTML5) ont été signalées à VMware de manière privée. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons appliqué les correctifs fournis par VMware pour la pile vSphere conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans les documents CVE-2021-21985 et CVE-2021-21986. Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent aucune modification pour le moment, indiquant les correctifs appliqués. Sachez que les correctifs appropriés ont été installés et que votre environnement est protégé contre ces failles. Impact sur VMware Engine D'après nos investigations, aucun client n'a été touché. Que dois-je faire ? Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.	Critique	VMSA-2021-0010 CVE-2021-21985 CVE-2021-21986

Description

Niveau de gravité

Notes

Selon l'avis de sécurité VMware VMSA-2021-0010, les failles liées à l'exécution du code distant et au contournement de l'authentification du client vSphere (HTML5) ont été signalées à VMware de manière privée. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les correctifs fournis par VMware pour la pile vSphere conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans les documents CVE-2021-21985 et CVE-2021-21986. Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent aucune modification pour le moment, indiquant les correctifs appliqués. Sachez que les correctifs appropriés ont été installés et que votre environnement est protégé contre ces failles.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

Critique

GCP-2021-002

Date de publication : 05/03/2021

Description	Niveau de gravité	Notes
Conformément à l'avis de sécurité VMware VMSA-2021-0002, VMware a reçu des rapports concernant plusieurs failles dans VMware ESXi et le client vSphere (HTML5). VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés. Nous avons appliqué les solutions de contournement officiellement décrites pour la pile vSphere conformément à l'avis de sécurité de VMware. Cette mise à jour concerne les failles de sécurité décrites dans les documents CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974. Impact sur VMware Engine D'après nos investigations, aucun client n'a été touché. Que dois-je faire ? Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.	Critique	VMSA-2021-0002 CVE-2021-21972 CVE-2021-21973 CVE-2021-21974

Description

Niveau de gravité

Notes

Conformément à l'avis de sécurité VMware VMSA-2021-0002, VMware a reçu des rapports concernant plusieurs failles dans VMware ESXi et le client vSphere (HTML5). VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les solutions de contournement officiellement décrites pour la pile vSphere conformément à l'avis de sécurité de VMware. Cette mise à jour concerne les failles de sécurité décrites dans les documents CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

Critique