Numéro : AV16-030
Date : Le 15 février 2016
Objet
Le but de cet avis est d'attirer l'attention sur les mises à jour publiées récemment pour aborder les questions de sécurité critiques pour VMware vCenter Server et ESXi.
Évaluation
VMware a publié des mises à jour de sécurité qui résout plusieurs vulnérabilités de sécurité dans vCenter et ESXi. L'exploitation de l'une de ces vulnérabilités pourrait permettre à un attaquant d'exécuter du code à distance sur un hôte ESXi, exécuter du code arbitraire sur un serveur vCenter ou permettre à un attaquant non authentifié, de créer un déni de service dans le service de vpxd
Versions affectées:
VMware ESXi 5.5, ESXi 5.1 and ESXi 5.0 sans correctifs de sécurité ESXi550-201509101 VMware vCenter Server 6.0 avant version 6.0 mises à jour 1 VMware vCenter Server 5.5 avant version 5.5 mises à jour 3 VMware vCenter Server 5.1 avant version 5.1 mises à jour u3b VMware vCenter Server 5.0 avant version 5.u mises à jour u3e
Références CVE: CVE-2015-5177, CVE-2015-2342, CVE-2015-1047
Mesures Recommandées
Le CCRIC recommande que les propriétaires / exploitants de tester et déployer les mises à jour publiées du fournisseur ou d'appliquer les solutions de contournement à plates-formes concernées en conséquence.
Références:
VMWare: http://www.vmware.com/security/advisories/VMSA-2015-0007.html
US-CERT: https://www.us-cert.gov/ncas/current-activity/2015/10/01/VMware-Releases-Security-Advisory
CVE-2015-5177: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-5177
CVE-2015-2342: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2342
CVE-2015-1047: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1047