Support technique
Documentation
Connexion
Nous contacter
VMware corrige trois vulnérabilités lors du Patch Tuesday de décembre
Obanla Opeyemi
27 décembre 2022 - L'équipe d'experts de TuxCare
VMware a publié des correctifs pour un certain nombre de vulnérabilités, notamment une faille d'échappement de machine virtuelle, CVE-2022-31705, qui a été exploitée lors du défi de piratage GeekPwn 2022, dans le cadre du Patch Tuesday de ce mois-ci.
VMWare a attribué une note de gravité CVSS de 9,3/10 à cette vulnérabilité et a signalé qu'un acteur malveillant disposant de droits d'administrateur local sur une machine virtuelle pouvait l'exploiter pour exécuter du code en tant que processus VMX de la machine virtuelle fonctionnant sur l'hôte.
La faille d'échappement VM, documentée sous le nom de CVE-2022-31705, a été exploitée par le chercheur Yuhao Jiang de Ant Security sur des systèmes exécutant des produits VMware Fusion, ESXi et Workstation entièrement corrigés.
"Sur ESXi, l'exploitation est contenue dans le bac à sable VMX alors que, sur Workstation et Fusion, cela peut conduire à l'exécution de code sur la machine où Workstation ou Fusion est installé", a déclaré VMware.
Parallèlement, la mise à jour de sécurité critique avec un score CVSS de 7.2 corrige deux vulnérabilités (CVE-2022-31700, CVE-2022-31701) dans VMware Workspace ONE Access and Identity Manager. CVE-2022-31700 est une vulnérabilité RCE authentifiée avec un score CVSS de 7,2, tandis que CVE-2022-31701 est un bogue d'authentification brisée avec un indice de gravité de 5,3.
Les produits concernés par cette vulnérabilité sont les suivants
ESXi 8.0 (corrigé dans ESXi 8.0a-20842819) (corrigé dans ESXi 8.0a-20842819)
ESXi 7.0 (corrigé dans 7.0U3i-20842708) (corrigé dans 7.0U3i-20842708)
Fusion version 12.x (corrigé dans 12.2.5)
16.x Workstation (corrigé dans 16.2.5)
4.x/3.x Cloud Foundation (corrigé dans KB90336)
VMware a également résolu une vulnérabilité de sécurité par injection de commande et traversée de répertoire, toutes deux suivies sous le nom de CVE-2022-31702 31702, une vulnérabilité de gravité critique (CVSS v3 : 9,8) dans l'API REST vRNI de vRealize Network Insight versions 6.2 à 6.7 qui permet une injection de commande. Et CVE-2022-31703, une faille de traversée de répertoire de faible gravité (CVSS v3 : 7.5) qui permet à un acteur menaçant de lire des fichiers arbitraires sur le serveur.
Les sources de cet article comprennent un article de SecurityAffairs.
