Bulletins de sécurité

Conformément à l'avis VMSA-2025-0013, plusieurs failles dans VMware ESXi ont été signalées à Broadcom de manière privée.

Nous avons déjà corrigé ces failles ou nous sommes en train d'appliquer les correctifs nécessaires fournis par Broadcom. Il n'existe aucune solution de contournement connue pour ces failles signalées.

Une fois corrigées, vos déploiements VMware Engine doivent exécuter ESXi 7.0U3w ou ESXi 8.0U3f ou version ultérieure.

Que dois-je faire ?

Google recommande aux clients de surveiller leurs charges de travail sur VMware Engine afin de détecter toute activité inhabituelle.

• VMSA-2025-0013
• CVE-2025-41236
• CVE-2025-41237
• CVE-2025-41238
• CVE-2025-41239

Selon l'avis de sécurité VMware VMSA-2024-0017, une faille d'injection SQL dans VMware Aria Automation a été signalée à VMware de manière privée. Des correctifs sont disponibles pour corriger cette faille dans les produits VMware concernés.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Automation KB325790.

• VMSA-2024-0017
• CVE-2024-22280

Conformément à l'avis de sécurité VMware VMSA-2025-0006, une faille d'escalade des privilèges locaux dans VMware Aria Operations a été signalée à VMware de manière responsable. Des correctifs sont disponibles pour corriger cette faille dans les produits VMware concernés.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Operations 8.18 HF5.

• VMSA-2025-0006
• CVE-2025-22231

Selon l'avis de sécurité VMware VMSA-2025-0003, plusieurs failles dans VMware Aria Operations for Logs et VMware Aria Operations ont été signalées à VMware de manière privée. Des correctifs sont disponibles pour corriger cette faille dans les produits VMware concernés.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Operations for Logs 8.18.3 et VMware Aria Operations 8.18.3.

• VMSA-2025-0003
• CVE-2025-22218
• CVE-2025-22219
• CVE-2025-22220
• CVE-2025-22221
• CVE-2025-22222

Selon l'avis de sécurité VMware VMSA-2025-0008, une faille de script intersite (XSS) basée sur le DOM dans VMware Aria Automation a été signalée à VMware de manière privée. Des correctifs sont disponibles pour corriger cette faille dans les produits VMware concernés.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Automation 8.18.1 correctif 2.

• VMSA-2025-0008
• CVE-2025-22249

VMware a révélé plusieurs failles dans VMSA-2025-0004 qui affectent les composants ESXi déployés dans les environnements client.

Impact sur VMware Engine

Vos clouds privés sont déjà corrigés ou sont en cours de mise à jour pour résoudre la faille de sécurité. Dans le cadre du service VMware Engine, tous les clients disposent d'hôtes physiques dédiés dotés de disques installés localement, isolés physiquement des autres matériels. Cela signifie que la faille de sécurité est limitée aux VM invitées de votre cloud privé spécifique.

Vos clouds privés seront mis à jour vers la version 7.0u3s (numéro de compilation 24534642). Cela équivaut à la version 7.0U3s : numéro de build 24585291.

Que dois-je faire ?

Suivez les instructions de Broadcom et de vos fournisseurs de sécurité concernant cette faille.

• VMSA-2025-0004
• CVE-2025-22224
• CVE-2025-22225
• CVE-2025-22226

Conformément à l'avis de sécurité VMware VMSA-2025-0001, une faille SSRF (Server-Side Request Forgery, falsification de requête côté serveur) dans VMware Aria Automation a été signalée à VMware de manière responsable. Des correctifs sont disponibles pour corriger cette faille dans les produits VMware concernés.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Automation 8.18.2 HF.

• VMSA-2025-0001
• CVE-2025-22215

Conformément à l'avis de sécurité VMware VMSA-2024-0022, plusieurs failles dans VMware Aria Operations ont été signalées à VMware de manière responsable. Des mises à jour sont disponibles pour corriger ces failles dans le produit VMware concerné.

Que dois-je faire ?

Nous vous recommandons de passer à VMware Aria Operations 8.18.2.

• VMSA-2024-0022
• CVE-2024-38830
• CVE-2024-38831
• CVE-2024-38832
• CVE-2024-38833
• CVE-2024-38834

Conformément à l'avis de sécurité VMware VMSA-2024-0020, plusieurs failles dans VMware NSX ont été signalées à VMware de manière responsable.

La version de NSX-T exécutée dans votre environnement VMware Engine n'est pas concernée par les CVE-2024-38815, CVE-2024-38818 ni CVE-2024-38817.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2024-0020
• CVE-2024-38815
• CVE-2024-38817
• CVE-2024-38818

Selon l'avis de sécurité VMware VMSA-2024-0021, une faille d'injection SQL authentifiée dans VMware HCX a été signalée à VMware de manière privée.

Nous avons appliqué la mesure d'atténuation approuvée par VMware pour résoudre cette faille. Ce correctif résout une faille de sécurité décrite dans CVE-2024-38814. Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent pour le moment aucune modification indiquant les changements appliqués. Les mesures d'atténuation appropriées ont été installées et votre environnement est protégé contre cette faille.

Que dois-je faire ?

Nous vous recommandons de passer à la version 4.9.2 de VMware HCX.

• VMSA-2024-0021
• CVE-2024-38814

VMware a révélé plusieurs failles dans VMSA-2024-0019 qui affectent les composants vCenter déployés dans les environnements client.

Impact sur VMware Engine

• Google a déjà désactivé toute exploitation potentielle de cette faille. Par exemple, Google a bloqué les ports par lesquels cette faille pourrait être exploitée.
• De plus, Google s'assure que tous les futurs déploiements de vCenter ne seront pas exposés à cette faille.

Que dois-je faire ?

Aucune action supplémentaire n'est requise de votre part pour le moment.

• CVE-2024-38812
• CVE-2024-38813

Une faille CVE-2024-6387 a été découverte dans le serveur OpenSSH (sshd). Cette faille est exploitable à distance sur les systèmes Linux basés sur glibc : il s'agit d'une exécution de code à distance non authentifiée en tant que root, car elle affecte le code privilégié de sshd, qui n'est pas mis en bac à sable et s'exécute avec des droits d'accès complets.

Au moment de la publication, l'exploitation est considérée comme difficile. Elle nécessite de gagner une condition de course, ce qui est difficile à exploiter avec succès et peut prendre plusieurs heures par machine attaquée. Nous n'avons connaissance d'aucune tentative d'exploitation.

Que dois-je faire ?

1. Appliquez les mises à jour des distributions Linux à vos charges de travail dès qu'elles sont disponibles. Veuillez consulter les consignes des distributions Linux.
2. Si la mise à jour n'est pas possible, envisagez de désactiver OpenSSH jusqu'à ce qu'il puisse être corrigé.
3. Si OpenSSH doit rester activé, vous pouvez également exécuter une mise à jour de la configuration qui élimine la condition de course pour l'exploitation. Il s'agit d'une mesure d'atténuation au moment de l'exécution. Pour appliquer les modifications apportées à la configuration sshd, ce script redémarrera le service sshd.

   #!/bin/bash
   set -e
   
   SSHD_CONFIG_FILE=/etc/ssh/sshd_config
   # -c: count the matches
   # -q: don't print to console
   # -i: sshd_config keywords are case insensitive.
   if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
       echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
       echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   else
       sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
       echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
   fi
   # Restart the sshd service to apply the new config.
   systemctl restart sshd
             

4. Enfin, surveillez toute activité réseau inhabituelle impliquant des serveurs SSH.

• CVE-2024-6387
• Réponse de Broadcom concernant VMware Cloud Foundation

VMware a révélé plusieurs failles dans VMSA-2024-0012 qui affectent les composants vCenter déployés dans les environnements client.

Impact sur VMware Engine

• La faille peut être exploitée en accédant à des ports spécifiques de vCenter Server. Google a déjà bloqué les ports vulnérables sur le serveur vCenter, ce qui empêche toute exploitation potentielle de cette faille.
• De plus, Google s'assure que tous les futurs déploiements de vCenter ne seront pas exposés à cette faille.

Que dois-je faire ?

Aucune action supplémentaire n'est requise de votre part pour le moment.

• CVE-2024-37079
• CVE-2024-37080
• CVE-2024-37081

VMware a révélé plusieurs failles dans VMSA-2024-0006 qui affectent les composants ESXi déployés dans les environnements client.

Impact sur VMware Engine

Vos clouds privés ont été mis à jour pour corriger la faille de sécurité.

Que dois-je faire ?

Aucune action de votre part n'est requise.

• VMSA-2024-0006
• CVE-2024-22252
• CVE-2024-22253
• CVE-2024-22254
• CVE-2024-22255

VMware a divulgué plusieurs failles dans VMSA-2023-0023 qui affectent les composants vCenter déployés dans les environnements client.

Impact sur VMware Engine

• La faille peut être exploitée en accédant à des ports spécifiques de vCenter Server. Ces ports ne sont pas exposés à l'Internet public.
• Si vos ports vCenter 2012/tcp, 2014/tcp et 2020/tcp ne sont pas accessibles par des systèmes non fiables, vous n'êtes pas exposé à cette faille.
• Google a déjà bloqué les ports vulnérables sur le serveur vCenter, ce qui empêche toute exploitation potentielle de cette faille.
• De plus, Google s'assurera que tous les futurs déploiements du serveur vCenter ne sont pas exposés à cette faille.
• Au moment de la publication du bulletin, VMware n'a connaissance d'aucune exploitation "in the wild". Pour en savoir plus, consultez la documentation VMware.

Que dois-je faire ?

Aucune action supplémentaire n'est requise de votre part pour le moment.

• CVE-2023-34048, CVE-2023-34056

Les mises à jour de VMware vCenter Server corrigent plusieurs failles de corruption de mémoire (CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896).

Impact sur VMware Engine

VMware vCenter Server (vCenter Server) et VMware Cloud Foundation (Cloud Foundation).

Que dois-je faire ?

Les clients ne sont pas concernés et n'ont aucune action à effectuer.

• CVE-2023-20893

Intel a récemment annoncé l'avis de sécurité Intel INTEL-SA-00828 qui concerne certaines de ses familles de processeurs. Nous vous encourageons à évaluer vos risques en fonction de cet avis.

Impact sur VMware Engine

Notre flotte utilise les familles de processeurs concernées. Dans notre déploiement, l'intégralité du serveur est dédiée à un seul client. Par conséquent, notre modèle de déploiement n'ajoute aucun risque supplémentaire à votre évaluation de cette faille.

Nous collaborons avec nos partenaires pour obtenir les correctifs nécessaires et nous les déploierons en priorité sur l'ensemble du parc à l'aide de la procédure de mise à niveau standard au cours des prochaines semaines.

Que dois-je faire ?

Aucune action de votre part n'est requise. Nous mettons à niveau tous les systèmes concernés.

• CVE-2022-40982

Conformément à l'avis de sécurité VMSA-2021-0020, VMware a reçu des rapports concernant plusieurs failles dans vCenter. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons déjà appliqué les correctifs fournis par VMware pour la pile vSphere à Google Cloud VMware Engine, conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans CVE-2021-22005, CVE-2021-22006, CVE-2021-22007, CVE-2021-22008 et CVE-2021-22010. D'autres problèmes de sécurité non critiques seront résolus dans la prochaine mise à niveau de la pile VMware (selon l'avis préalable envoyé en juillet, des détails supplémentaires seront bientôt fournis dans la chronologie spécifique de la mise à niveau).

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2021-0020
• CVE-2021-22005
• CVE-2021-22006
• CVE-2021-22007
• CVE-2021-22008
• CVE-2021-22010

Selon l'avis de sécurité VMware VMSA-2021-0010, les failles liées à l'exécution du code distant et au contournement de l'authentification du client vSphere (HTML5) ont été signalées à VMware de manière privée. VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les correctifs fournis par VMware pour la pile vSphere conformément à l'avis de sécurité VMware. Cette mise à jour résout les failles de sécurité décrites dans les documents CVE-2021-21985 et CVE-2021-21986. Les versions d'image exécutées dans votre cloud privé VMware Engine ne reflètent pour le moment aucune modification indiquant les correctifs appliqués. Sachez que les correctifs appropriés ont été installés et que votre environnement est protégé contre ces failles.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Étant donné que les clusters VMware Engine ne sont pas affectés par cette faille, aucune autre action n'est requise.

• VMSA-2021-0010
• CVE-2021-21985
• CVE-2021-21986

Conformément à l'avis de sécurité VMware VMSA-2021-0002, VMware a reçu des rapports concernant plusieurs failles dans VMware ESXi et le client vSphere (HTML5). VMware a mis à disposition des mises à jour pour corriger ces failles dans les produits VMware concernés.

Nous avons appliqué les solutions de contournement officiellement décrites pour la pile vSphere conformément à l'avis de sécurité de VMware. Cette mise à jour concerne les failles de sécurité décrites dans les documents CVE-2021-21972, CVE-2021-21973 et CVE-2021-21974.

Impact sur VMware Engine

D'après nos investigations, aucun client n'a été touché.

Que dois-je faire ?

Nous vous recommandons de passer à la dernière version de HCX.

• VMSA-2021-0002
• CVE-2021-21972
• CVE-2021-21973
• CVE-2021-21974