Avis de sécurité VMware du 06 février 2024.

Cinq avis de correctifs de sécurité émis par VMware.

De multiples vulnérabilités ont été découvertes dans les produits VMware. Les correctifs de sécurité portent sur une atteinte à la confidentialité des données, une élévation de privilèges et une injection de code indirecte à distance (XSS). plus précisément sur des vulnérabilités d’élévation de privilèges locaux; une vulnérabilité de script intersite; une vulnérabilité de lecture de fichier local; une vulnérabilité de cross site scripting XSS.

CVE-2024-22237 : Vulnérabilité d’élévation de privilèges locale. Aria Operations for Networks contient une vulnérabilité d’élévation de privilèges locale. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité Important avec un score de base CVSSv3 maximum de 7,8 . Un utilisateur de console ayant accès à Aria Operations for Networks peut exploiter cette vulnérabilité pour élever ses privilèges afin d’obtenir un accès root au système. VMware souhaite remercier Mourad Barhi de Rabobank de nous avoir signalé ce problème.

CVE-2024-22238 : Vulnérabilité de script intersite. Aria Operations for Networks contient une vulnérabilité de script intersite. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité modérée avec un score de base CVSSv3 maximum de 6,4 . Un acteur malveillant disposant de privilèges d’administrateur peut être en mesure d’injecter du code malveillant dans les configurations de profil utilisateur en raison d’une vérification inappropriée des entrées. VMware souhaite remercier Kajetan Rostojek et Tomasz Holeksa d’ING Hubs Pologne de nous avoir signalé cette vulnérabilité.

CVE-2024-22239 : Vulnérabilité d’élévation de privilèges locale. Aria Operations for Networks contient une vulnérabilité d’élévation de privilèges locale. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité modérée avec un score de base CVSSv3 maximum de 5,3 . Un utilisateur de console ayant accès à Aria Operations for Networks peut exploiter cette vulnérabilité pour élever ses privilèges afin d’obtenir un accès régulier au shell. VMware souhaite remercier Mourad Barhi de Rabobank de nous avoir signalé ce problème.

CVE-2024-22240 : Vulnérabilité de lecture de fichier local. Aria Operations for Networks contient une vulnérabilité de lecture de fichier local. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité modérée avec un score de base CVSSv3 maximum de 4,9 . Un acteur malveillant disposant de privilèges d’administrateur peut exploiter cette vulnérabilité, conduisant à un accès non autorisé à des informations sensibles. VMware souhaite remercier Rahul Maini et Harsh Jaiswal de l’équipe de recherche ProjectDiscovery de nous avoir signalé ce problème.

CVE-2024-22241 : Vulnérabilité de cross site scripting. Aria Operations for Networks contient une vulnérabilité de script intersite. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité modérée avec un score de base CVSSv3 maximum de 4,3. Un acteur malveillant disposant de privilèges d’administrateur peut injecter une charge utile malveillante dans la bannière de connexion et prendre le contrôle du compte utilisateur. VMware souhaite remercier Kajetan Rostojek et Tomasz Holeksa d’ING Hubs Pologne de nous avoir signalé ce problème.


L'élévation de privilège en informatique désigne le processus par lequel un utilisateur ou un programme obtient des droits d'accès supérieurs à ceux qui lui sont normalement accordés. Cela peut être intentionnel, comme lorsqu'un administrateur accorde temporairement des privilèges à un utilisateur pour effectuer une tâche spécifique, ou involontaire, souvent exploitée par des pirates pour compromettre un système. Les vulnérabilités logicielles et les failles de sécurité sont souvent exploitées pour réaliser des élévations de privilèges, mettant ainsi en danger la confidentialité et l'intégrité des données.

L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité. Pour prévenir de telles attaques, il est essentiel de maintenir à jour les logiciels et d'appliquer des bonnes pratiques en matière de sécurité informatique.


La confidentialité en informatique est un principe fondamental qui garantit la protection des données personnelles des utilisateurs. Elle implique que les informations sensibles soient accessibles uniquement aux personnes autorisées. Avec la prolifération des plateformes en ligne et des appareils connectés, la préservation de la confidentialité devient cruciale.

Les technologies telles que le chiffrement des données et les pare-feu jouent un rôle essentiel dans cette protection. Cependant, des préoccupations persistent concernant la collecte excessive de données par les entreprises et les gouvernements, mettant en péril la vie privée des individus. Ainsi, il est impératif de mettre en place des réglementations strictes et des pratiques de sécurité robustes pour préserver la confidentialité des données dans le monde numérique.

La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données.

De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source


Le code arbitraire, également connu sous le nom de code obscur ou de code spaghetti, est une pratique où le flux logique d'un programme devient difficile à suivre en raison de la complexité excessive de sa structure. Ce type de code peut résulter d'une mauvaise conception, de l'accumulation de correctifs sans structure claire, ou simplement d'un manque de compréhension du langage de programmation utilisé. Le code arbitraire rend la maintenance et la mise à jour du logiciel difficiles et augmente le risque d'erreurs. Pour éviter cela, il est essentiel de suivre des pratiques de programmation claires et de maintenir une structure logique dans le code.

Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir une élévations de privilège donnant des droits d'administrateur. Une situation qui permet d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes. Ce sont particulièrement les failles de catégorie zero days qui sont ciblées en priorité du fait de leur absence de correctif. Le retard d'application des mises à jour des vulnérabilités présente aussi un risque potentiel de contrôle à distance non sollicité.


Le cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d'injecter du contenu dans une page, permettant ainsi de provoquer des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l'attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash...) et de nouvelles possibilités sont régulièrement découvertes notamment avec l'arrivée de nouvelles technologies comme HTML5. Il est par exemple possible de rediriger vers un autre site pour de l'hameçonnage ou encore de voler la session en récupérant les cookies. En exploitant les failles critiques Zero-Day, les cybercriminels lancent des attaques XSS dans le but d'insérer des scripts malveillants dans les sites internet. Les navigateurs sont incapables de distinguer l'origine des balises malwares de celles qui sont légitimes. Cette action donne aux pirates un accès complet aux informations confidentielles enregistrées par les internautes dans l'historique et les cookies de navigation.


VMware est une société informatique américaine fondée en 1998, filiale d'EMC Corporation depuis 2004, qui propose plusieurs produits propriétaires liés à la virtualisation d'architectures x86. C'est aussi par extension le nom d'une gamme de logiciels de virtualisation. VMware assure la Création des applications Cloud, il modernise celles existantes et gère l’infrastructure qui les fournit quel que soit le Cloud. En matière de réseau, il accélère les opérations des applications modernes avec la virtualisation du réseau et de la sécurité pour WAN, Data Center et Cloud. Il déploie chaque application, sur tout type de Cloud, partout, du cœur et du RAN, à la périphérie et au Cloud. Le 26 mai 2022, Broadcom confirme l'achat de VMWare pour 61 milliards de dollars et espère devenir « le leader mondial des technologies d'infrastructure ». VMware travaille avec Spring Framework, Spring Boot et Apache Tomcat depuis des années. Le runtime VMware Spring facilite la prise en charge d’ OpenJDK. Des formules d’abonnement annuel sont disponibles par pod et par cœur. Le runtime s’adapte aux dimensions de l'entreprise, quel que soit le nombre de machines virtuelles Java (JVM).


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

A propos de l'auteur

Retour en haut