VMSA-2024-0019, VMware a récemment publié des correctifs pour deux vulnérabilités critiques affectant les produits VMware vCenter Server et VMware Cloud Foundation :
| Advisory ID: | VMSA-2024-0019.3 |
| Severity: | Critical |
| CVSSv3 Range: | 7.5-9.8 |
| Synopsis: | VMware vCenter Server updates address heap-overflow and privilege escalation vulnerabilities (CVE-2024-38812, CVE-2024-38813) |
| Issue date: | 2024-09-17 |
| Updated on: | 2024-10-21 |
| CVE(s) | CVE-2024-38812, CVE-2024-38813 |
CVE-2024-38812 – Une faille de dépassement de mémoire tampon dans le tas (heap-overflow) permettant une exécution de code à distance en exploitant des paquets DCERPC modifiés.
CVE-2024-38813 – Une vulnérabilité d’élévation de privilèges (privilege escalation) permettant à un attaquant d’obtenir des droits root et l’exécution de code à distance.
Ces failles sont critiques, avec un impact potentiel sur la sécurité, la confidentialité, l’intégrité et la disponibilité des systèmes.
Remarques :
- VMware by Broadcom a confirmé que la vulnérabilité CVE-2024-38813 a été exploitée dans des environnements réels.
Les consommateurs de ces produits sont invités à appliquer immédiatement les correctifs VMSA-2024-0019 disponibles pour les versions affectées :
| Produit VMware | Version | Running On | CVE | CVSSv3 | Gravité | Version corrigée | Solutions de contournement | Documentation complémentaire |
| Serveur VMware vCenter | 8.0 | N’importe lequel | CVE-2024-38812, CVE-2024-38813 | 9,8 , 7,5 | Critique | 8.0 U3d [1] | Aucun | FAQ |
| Serveur VMware vCenter | 8.0 | N’importe lequel | CVE-2024-38812, CVE-2024-38813 | 9,8 , 7,5 | Critique | 8.0 U2e | Aucun | FAQ |
| Serveur VMware vCenter | 7.0 | N’importe lequel | CVE-2024-38812, CVE-2024-38813 | 9,8 , 7,5 | Critique | 7.0 U3t [1] | Aucun | FAQ |
| Fondation VMware Cloud | 5.x | N’importe lequel | CVE-2024-38812, CVE-2024-38813 | 9,8 , 7,5 | Critique | Patch asynchrone pour 8.0 U3d [1] | Aucun | Guide de correctifs asynchrones : KB88287 |
| Fondation VMware Cloud | 5.1.x | N’importe lequel | CVE-2024-38812, CVE-2024-38813 | 9,8 , 7,5 | Critique | Patch asynchrone pour 8.0 U2e | Aucun | Guide de correctifs asynchrones : KB88287 |
| Fondation VMware Cloud | 4.x | N’importe lequel | CVE-2024-38812, CVE-2024-38813 | 9,8 , 7,5 | Critique | Patch asynchrone pour 7.0 U3t [1] | Aucun | Guide de correctifs asynchrones : KB88287 |
Pour plus de détails, veuillez consulter le lien suivant :
