Bulletin de sécurité dans les produits VMware

Vous lisez 7 fils de discussion
  • Auteur
    Messages
    • #35379
      Nicolas Coolman
      Maître des clés

      Bulletin de sécurité dans les produits VMware

      Bulletin de sécurité VMware VMSA-2021-0016 du 05 août 2021

      (CVE-2021-22002, CVE-2021-22003) – VMware Workspace ONE Access, Identity Manager et vRealize Automation résolvent plusieurs vulnérabilités. (Sources)

      VMware Workspace ONE Access et Identity Manager permettent d’accéder à l’application Web /cfg et aux points de terminaison de diagnostic, sur le port 8443, via le port 443 à l’aide d’un en-tête d’hôte personnalisé. VMware a évalué ce problème comme étant de gravité « importante » avec un score de base CVSSv3 maximum de 8,6.

      Un acteur malveillant disposant d’un accès réseau au port 443 pourrait falsifier les en-têtes d’hôte pour faciliter l’accès à l’application Web /cfg. De plus, un acteur malveillant pourrait accéder aux points de terminaison de diagnostic /cfg sans authentification.

      Multiples vulnérabilités dans les produits VMware

      De multiples vulnérabilités ont été découvertes dans les produits VMware. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité. (Sources)


      Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation.

      Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie.

      La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en oeuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques.


      VMware est une société informatique américaine fondée en 1998, filiale d'EMC Corporation depuis 2004, qui propose plusieurs produits propriétaires liés à la virtualisation d'architectures x86. C'est aussi par extension le nom d'une gamme de logiciels de virtualisation. 

      VMware assure la Création des applications Cloud, il modernise celles existantes et gére l’infrastructure qui les fournit quel que soit le Cloud. En matière de réseau, il accélére les opérations des applications modernes avec la virtualisation du réseau et de la sécurité pour WAN, Data Center et Cloud. Il déploie chaque application, sur tout type de Cloud, partout, du cœur et du RAN, à la périphérie et au Cloud.

      Le 26 mai 2022, Broadcom confirme l'achat de VMWare pour 61 milliards de dollars et espère devenir « le leader mondial des technologies d'infrastructure ».

      Nicolas Coolman

    • #35584
      Nicolas Coolman
      Maître des clés

      Vulnérabilité dans VMware Workspace

      Une vulnérabilité a été découverte dans la console VMware Workspace ONE UEM. Elle permet à un attaquant de provoquer un déni de service à distance. (Sources)

      Bulletin de sécurité VMware VMSA-2021-0017 du 19 août 2021

      Une vulnérabilité de déni de service dans la console VMware Workspace ONE UEM a été signalée en privé à VMware. Des correctifs sont disponibles pour corriger cette vulnérabilité dans les produits VMware concernés.

      L’API REST de VMware Workspace ONE UEM contient une vulnérabilité de déni de service. VMware a évalué ce problème comme étant de gravité « modérée » avec un score de base CVSSv3 maximum de 5,3 . (Sources)


      Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser.

      Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise.

      Nicolas Coolman

    • #35623
      Nicolas Coolman
      Maître des clés

      Bulletin de sécurité VMware VMSA-2021-0018 du 24 août 2021

      Plusieurs vulnérabilités dans VMware vRealize Operations ont été signalées en privé à VMware. Des correctifs et des solutions de contournement sont disponibles pour remédier à ces vulnérabilités dans les produits VMware concernés. L’API vRealize Operations Manager contient une vulnérabilité de lecture de fichier arbitraire. VMware a évalué la gravité de ce problème comme étant dans la plage de gravité modérée avec un score de base CVSSv3 maximum de 4,4 . (Sources)

      De multiples vulnérabilités ont été découvertes dans les produits VMware. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une atteinte à l’intégrité des données et une atteinte à la confidentialité des données. (Sources)


      La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information.

      La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. 

      De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation.

      Nul doute que l'utilisation d'un Réseau Privé Virtuel (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges.


      De manière générale, l'intégrité des données désigne l'état de données qui, lors de leur traitement, de leur conservation ou de leur transmission, ne subissent aucune altération ou destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation.

      L'intégrité des données comprend quatre éléments : l'intégralité, la précision, l'exactitude/authenticité et la validité. L'intégrité est l'une des exigences de base de la sécurité informatique, de la gestion documentaire et de l'archivistique.


      Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation.

      Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie.

      La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en oeuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques.

      Nicolas Coolman

    • #36331
      Nicolas Coolman
      Maître des clés

      Bulletin de sécurité VMware VMSA-2021-0024 du 19 octobre 2021

      Une vulnérabilité a été découverte dans VMware vRealize Operations. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données. (Sources)

      Nicolas Coolman

    • #36373
      Nicolas Coolman
      Maître des clés

      Bulletin de sécurité VMware cve-2021-22044 du 26 octobre 2021

      De multiples vulnérabilités ont été découvertes dans VMware Spring. Elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à l’intégrité des données et une atteinte à la confidentialité des données. (Sources)


      Une attaque par déni de service (Denial Of Service attack, d’où l’abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser.

      Il peut s’agir de la perturbation des connexions entre deux machines, empêchant l’accès à un service particulier, de l’inondation d’un réseau afin d’empêcher son fonctionnement, de l’obstruction d’accès à un service à une personne en particulier, également le fait d’envoyer des milliards d’octets à une box internet. L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web ou empêcher la distribution de courriel dans une entreprise.


      De manière générale, l'intégrité des données désigne l'état de données qui, lors de leur traitement, de leur conservation ou de leur transmission, ne subissent aucune altération ou destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation.

      L'intégrité des données comprend quatre éléments : l'intégralité, la précision, l'exactitude/authenticité et la validité. L'intégrité est l'une des exigences de base de la sécurité informatique, de la gestion documentaire et de l'archivistique.


      La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information.

      La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. 

      De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation.

      Nul doute que l'utilisation d'un Réseau Privé Virtuel (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges.

      Nicolas Coolman

    • #36487
      Nicolas Coolman
      Maître des clés

      Bulletin de sécurité VMware cve-2021-22051 du 04 novembre 2021

      Une vulnérabilité a été découverte dans VMware Spring. Elle permet à un attaquant de provoquer un contournement de la politique de sécurité. (Sources)

      CVE-2021-22051 : Vulnérabilité de demande de Spring Cloud Gateway. Les applications utilisant Spring Cloud Gateway sont vulnérables aux demandes spécialement conçues qui pourraient faire une demande supplémentaire sur les services en aval. (Sources)


      Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation.

      Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie.

      La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en oeuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques.

      Nicolas Coolman

    • #37019
      Nicolas Coolman
      Maître des clés

      Bulletin de sécurité VMware VMSA-2021-0030 du 17 décembre 2021

      Plusieurs vulnérabilités ont été signalées en privé à VMware. Des correctifs sont disponibles pour remédier à cette vulnérabilité dans les produits VMware concernés. VMware Workspace ONE Access et Identity Manager contiennent une contrefaçon de demande côté serveur. VMware a évalué ce problème comme étant de gravité modérée. Un acteur malveillant disposant d’un accès réseau peut être en mesure de faire des requêtes HTTP vers des origines arbitraires et de lire la réponse complète. (Sources)


      Code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible.

      Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir des droits d'administrateur afin d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes.


      Une politique de sécurité informatique est un plan d'actions définies pour maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de l'organisme (PME, PMI, industrie, administration, État, unions d'États…) en matière de sécurité informatique. Elle est liée à la sécurité de l'information. Elle définit les objectifs de sécurité des systèmes informatiques d'une organisation.

      Une politique de sécurité informatique est une stratégie visant à maximiser la sécurité informatique d’une entreprise. Elle est matérialisée dans un document qui reprend l’ensemble des enjeux, objectifs, analyses, actions et procédures faisant parti de cette stratégie.

      La stratégie qui vise à maximiser la sécurité informatique d’une entreprise se matérialise par un document qui regroupe les objectifs, les enjeux et les actions qu'elle doit mettre en oeuvre. En complément de la politique de sécurité informatique, les entreprises se dotent d'une charte informatique qui établie des recommandations spécifiques au niveau des technologies informatiques.

      Nicolas Coolman

    • #38133
      Nicolas Coolman
      Maître des clés

      Bulletin de sécurité VMware VMSA-2022-0001 et VMware KB87249 du 04 janvier 2022

      Une vulnérabilité a été découverte dans les produits VMware. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
      (Sources)

      CVE-2021-22045 – Une vulnérabilité de débordement de tas dans VMware Workstation, Fusion et ESXi a été signalée en privé à VMware. Des mises à jour sont disponibles pour corriger cette vulnérabilité dans les produits VMware concernés. (Sources)

      Instructions de contournement pour CVE-2021-22045 sur les hôtes VMware ESXi (87249).VMware a enquêté sur CVE-2021-22045 et a déterminé que la possibilité d’exploitation peut être supprimée en effectuant les étapes détaillées dans la section Solution de contournement de cet article. Cette solution de contournement est censée être une solution temporaire jusqu’à ce que les mises à jour documentées dans VMSA-2022-0001 puissent être déployées. (Sources)


      Code arbitraire est employé pour nommer, en parlant de piratage informatique, une action à faire faire à une machine sans que le propriétaire soit d'accord. Par exemple, en utilisant un exploit, le code arbitraire peut ouvrir une session super-utilisateur sur une machine distante, ou modifier une base de données, ou plus généralement donner accès à une information non disponible.

      Les pirates s'intéressent plus particulièrement aux vulnérabilités critiques des logiciels et des systèmes d'exploitation. Ces failles permettent généralement d'obtenir des droits d'administrateur afin d'autoriser l'exécution de code arbitraire à distance à l'insu des victimes.

      Nicolas Coolman

Vous lisez 7 fils de discussion
  • Vous devez être connecté pour répondre à ce sujet.
Retour haut de page