Boletines de seguridad
Periódicamente, es posible que publiquemos boletines de seguridad relacionados con Google Cloud VMware Engineer. Todos los boletines de seguridad de VMware Engine se describen aquí.
Usa este feed XML para suscribirte a los boletines de seguridad de esta página.
GCP-2025-040
Fecha de publicación: 2025-07-15
Descripción
Descripción | Gravedad | Notas |
---|---|---|
Según el aviso VMSA-2025-0013, se informaron de forma privada a Broadcom varias vulnerabilidades en VMware ESXi. Ya aplicamos parches a estas vulnerabilidades o estamos en proceso de aplicar los parches necesarios que proporciona Broadcom. No hay soluciones alternativas conocidas para estas vulnerabilidades informadas. Una vez que se apliquen los parches, tus implementaciones de VMware Engine deberían ejecutar ESXi 7.0U3w o ESXi 8.0U3f, o una versión posterior. ¿Qué debo hacer?Google recomienda a los clientes que supervisen sus cargas de trabajo en VMware Engine para detectar cualquier actividad inusual. |
De medio a crítico |
GCP-2025-030
Fecha de publicación: 23-05-2025
Descripción | Gravedad | Notas |
---|---|---|
Según el aviso de seguridad de VMware VMSA-2024-0017, se informó de forma privada a VMware sobre una vulnerabilidad de inyección SQL en VMware Aria Automation. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware. ¿Qué debo hacer?Te recomendamos que actualices a VMware Aria Automation KB325790. |
Importante |
GCP-2025-029
Fecha de publicación: 23-05-2025
Descripción | Gravedad | Notas |
---|---|---|
Según el aviso de seguridad de VMware VMSA-2025-0006, se informó a VMware de forma responsable sobre una vulnerabilidad de elevación de privilegios local en VMware Aria Operations. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware. ¿Qué debo hacer?Te recomendamos que actualices a VMware Aria Operations 8.18 HF5. |
Importante |
GCP-2025-028
Fecha de publicación: 23-05-2025
Descripción | Gravedad | Notas |
---|---|---|
Según el aviso de seguridad de VMware VMSA-2025-0003, se informaron de forma privada a VMware varias vulnerabilidades en VMware Aria Operations for Logs y VMware Aria Operations. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware. ¿Qué debo hacer?Te recomendamos que actualices a VMware Aria Operations for Logs 8.18.3 y VMware Aria Operations a 8.18.3. |
Importante |
GCP-2025-026
Fecha de publicación: 15-05-2025
Descripción | Gravedad | Notas |
---|---|---|
Según el aviso de seguridad de VMware VMSA-2025-0008, se informó de forma privada a VMware sobre una vulnerabilidad de secuencias de comandos entre sitios (XSS) basada en DOM en VMware Aria Automation. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware. ¿Qué debo hacer?Te recomendamos que actualices a VMware Aria Automation 8.18.1, parche 2. |
Importante |
GCP-2025-011
Fecha de publicación: 2025-03-06
Descripción | Gravedad | Notas |
---|---|---|
VMware divulgó varias vulnerabilidades en VMSA-2025-0004 que afectan a los componentes de ESXi implementados en entornos de clientes. El impacto de VMware EngineTus nubes privadas ya tienen el parche aplicado o están en proceso de actualización para abordar la vulnerabilidad de seguridad. Como parte del servicio VMware Engine, todos los clientes obtienen hosts de equipos físicos dedicados con discos locales conectados que están aislados de manera física de otro hardware. Esto significa que la vulnerabilidad se limita a las VMs invitadas dentro de tu nube privada específica. Tus nubes privadas se actualizarán a la versión 7.0u3s, número de compilación 24534642. Esto equivale a 7.0U3s: número de compilación 24585291. ¿Qué debo hacer?Sigue las instrucciones de Broadcom y tus proveedores de seguridad en relación con esta vulnerabilidad. |
Crítico |
GCP-2025-004
Fecha de publicación: 16/01/2025
Descripción | Gravedad | Notas |
---|---|---|
Según el aviso de seguridad de VMware VMSA-2025-0001, se informó a VMware de forma responsable sobre una vulnerabilidad de falsificación de solicitudes del servidor (SSRF) en VMware Aria Automation. Hay parches disponibles para corregir esta vulnerabilidad en los productos afectados de VMware. ¿Qué debo hacer?Te recomendamos que actualices a VMware Aria Automation 8.18.2 HF. |
Medio |
GCP-2024-064
Publicado: 10-12-2024
Descripción | Gravedad | Notas |
---|---|---|
Según el aviso de seguridad de VMware VMSA-2024-0022, se informaron de forma responsable a VMware varias vulnerabilidades en VMware Aria Operations. Hay actualizaciones disponibles para corregir estas vulnerabilidades en el producto afectado de VMware. ¿Qué debo hacer?Te recomendamos que actualices a VMware Aria Operations 8.18.2. |
Importante |
GCP-2024-060
Publicado: 2024-10-17
Descripción | Gravedad | Notas |
---|---|---|
Según el aviso de seguridad de VMware VMSA-2024-0020, se informaron de forma responsable a VMware varias vulnerabilidades en VMware NSX. Las versiones de NSX-T que se ejecutan en tu entorno de VMware Engine no se ven afectadas por las CVE-2024-38815, CVE-2024-38818 ni CVE-2024-38817. ¿Qué debo hacer?Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción. |
Medio |
GCP-2024-059
Publicado: 2024-10-16
Descripción | Gravedad | Notas |
---|---|---|
Según el aviso de seguridad de VMware VMSA-2024-0021, se informó de forma privada a VMware sobre una vulnerabilidad de inyección de SQL autenticada en VMware HCX. Aplicamos la mitigación aprobada por VMware para abordar esta vulnerabilidad. Esta corrección aborda una vulnerabilidad de seguridad que se describe en CVE-2024-38814. Las versiones de imágenes que se ejecutan en tu nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar los cambios aplicados. Se instalaron las mitigaciones adecuadas y tu entorno está protegido contra esta vulnerabilidad. ¿Qué debo hacer?Te recomendamos que actualices a la versión 4.9.2 de VMware HCX. |
Alta |
GCP-2024-051
Publicado: 2024-09-18
Descripción | Gravedad | Notas |
---|---|---|
VMware divulgó varias vulnerabilidades en VMSA-2024-0019 que afectan a los componentes de vCenter implementados en los entornos de los clientes. El impacto de VMware Engine
¿Qué debo hacer?Por el momento, no es necesario que realices ninguna otra acción. |
Crítico |
GCP-2024-040
Publicado: 2024-07-01
Descripción | Gravedad | Notas |
---|---|---|
Se descubrió una vulnerabilidad CVE-2024-6387 en el servidor OpenSSH (sshd).
Esta vulnerabilidad se puede aprovechar de forma remota en sistemas Linux basados en glibc: Se trata de una ejecución remota de código no autenticada como raíz, ya que afecta al código con privilegios de sshd, que no está en un espacio aislado y se ejecuta con privilegios completos.
¿Qué debo hacer?
|
Crítico |
GCP-2024-037
Fecha de publicación: 18 de junio de 2024
Descripción | Gravedad | Notas |
---|---|---|
VMware divulgó varias vulnerabilidades en VMSA-2024-0012 que afectan a los componentes de vCenter implementados en entornos de clientes. El impacto de VMware Engine
¿Qué debo hacer?Por el momento, no es necesario que realices ninguna otra acción. |
Crítico |
GCP-2024-016
Publicado: 2024-03-05
Descripción | Gravedad | Notas |
---|---|---|
VMware divulgó varias vulnerabilidades en VMSA-2024-0006 que afectan a los componentes de ESXi implementados en los entornos de los clientes. El impacto de VMware EngineTus nubes privadas se actualizaron para abordar la vulnerabilidad de seguridad. ¿Qué debo hacer?No es necesario que realices ninguna acción. |
Crítico |
GCP-2023-034
Publicado: 25-10-2023
Actualizada: 2023-10-27
Descripción | Gravedad | Notas |
---|---|---|
VMware divulgó varias vulnerabilidades en VMSA-2023-0023 que afectan a los componentes de vCenter implementados en los entornos de los clientes. El impacto de VMware Engine
¿Qué debo hacer?Por el momento, no es necesario que realices ninguna otra acción. |
Crítico |
GCP-2023-027
Publicado: 11 de septiembre de 2023Descripción | Gravedad | Notas |
---|---|---|
Las actualizaciones de VMware vCenter Server abordan varias vulnerabilidades de corrupción de memoria (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896). El impacto de VMware EngineVMware vCenter Server (vCenter Server) y VMware Cloud Foundation (Cloud Foundation). ¿Qué debo hacer?Los clientes no se ven afectados y no es necesario que realicen ninguna acción. |
Medio |
GCP-2023-025
Publicado: 2023-08-08Descripción | Gravedad | Notas |
---|---|---|
Recientemente, Intel anunció el Aviso de seguridad de Intel INTEL-SA-00828 que afecta a algunas de sus familias de procesadores. Te recomendamos que evalúes tus riesgos en función de la asesoría. El impacto de VMware EngineNuestra flota utiliza las familias de procesadores afectadas. En nuestra implementación, todo el servidor está dedicado a un solo cliente. Por lo tanto, nuestro modelo de implementación no agrega ningún riesgo adicional a tu evaluación de esta vulnerabilidad. Estamos trabajando con nuestros socios para obtener los parches necesarios y los implementaremos de forma prioritaria en toda la flota con el proceso de actualización estándar en las próximas semanas. ¿Qué debo hacer?No es necesario que realices ninguna acción. Estamos trabajando para actualizar todos los sistemas afectados. |
Alta |
GCP-2021-023
Fecha de publicación: 21 de septiembre de 2021Descripción | Gravedad | Notas |
---|---|---|
De acuerdo con el aviso de seguridad de VMware VMSA-2021-0020, VMware recibió informes de varias vulnerabilidades en vCenter. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware. Ya aplicamos los parches que proporciona VMware para la pila de vSphere a Google Cloud VMware Engine según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 y CVE-2021-22010. Se abordarán otros problemas de seguridad no críticos en la próxima actualización de la pila de VMware (según la notificación previa que se envió en julio, se proporcionarán más detalles pronto en el cronograma específico de la actualización). El impacto de VMware EngineSegún nuestras investigaciones, no se descubrió que los clientes se vieran afectados. ¿Qué debo hacer?Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción. |
Crítico |
GCP-2021-010
Fecha de publicación: 25 de mayo de 2021Descripción | Gravedad | Notas |
---|---|---|
Según el aviso de seguridad de VMware VMSA-2021-0010, la ejecución remota de código y las vulnerabilidades de omisión de autenticación en el cliente de vSphere (HTML5) se informaron de forma privada a VMware. VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware. Aplicamos los parches proporcionados por VMware para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad descritas en CVE-2021-21985 y CVE-2021-21986. Las versiones de imágenes que se ejecutan en tu nube privada de VMware Engine no reflejan ningún cambio en este momento para indicar los parches aplicados. Ten la certeza de que se instalaron los parches adecuados y tu entorno está protegido contra estas vulnerabilidades. El impacto de VMware EngineSegún nuestras investigaciones, no se descubrió que los clientes se vieran afectados. ¿Qué debo hacer?Debido a que los clústeres de VMware Engine no se ven afectados por esta vulnerabilidad, no es necesario que realices ninguna otra acción. |
Crítico |
GCP-2021-002
Publicada: 05-03-2021Descripción | Gravedad | Notas |
---|---|---|
Según el aviso de seguridad VMSA-2021-0002, VMware recibió informes de varias vulnerabilidades en VMware ESXi y el cliente de vSphere (HTML5). VMware hizo actualizaciones disponibles para corregir estas vulnerabilidades en los productos afectados de VMware. Aplicamos las soluciones alternativas que se documentan de forma oficial para la pila de vSphere según el aviso de seguridad de VMware. Esta actualización aborda las vulnerabilidades de seguridad que se describen en CVE-2021-21972, CVE-2021-21973 y CVE-2021-21974. El impacto de VMware EngineSegún nuestras investigaciones, no se descubrió que los clientes se vieran afectados. ¿Qué debo hacer?Te recomendamos que actualices a la versión más reciente de HCX. |
Crítico |