VMware a publié des mises à jour de sécurité pour corriger trois vulnérabilités sur vSphere Data Protection

VMware, une filiale de Dell Technologies, a publié plusieurs correctifs corrigeant trois vulnérabilités critiques affectant vSphere Data Protection (VDP), une solution de sauvegarde et de récupération conçue pour les environnements vSphere.

La première vulnérabilité (CVE-2017-15548) permet un contournement de l’authentification VDP. Un utilisateur malveillant, non-authentifié, et à distance pourrait contourner l’authentification de l’application pour avoir un accès root non autorisé aux systèmes affectés.

La deuxième vulnérabilité (CVE-2017-15549) permettrait à un utilisateur authentifié, à distance, d’élever ses privilèges pour charger des fichiers, potentiellement malveillants, à n’importe quel endroit sur le système de fichiers du serveur.

Enfin, la troisième vulnérabilité (CVE-2017-15550) permettrait à un utilisateur malveillant, authentifié, à distance, avec des privilèges faibles, d’accéder à des fichiers arbitraires sur le système de fichiers du serveur dans le contexte d’exécution en cours de l'application vulnérable. 

VMware n’a pas fourni d’avantage de détails techniques à propos de ces trois vulnérabilités concernées par les mises à jour.

Informations
+

Impact

  • Élévation de privilèges
  • Contournement d’authentification

Criticité

  • CVSS v3 : Score non défini

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Les versions 6.1.x, 6.0.x et 5.x de vSphere Data Protection (VDP) fonctionnant sur les dispositifs virtuels de VMware.

CVE

  • CVE-2017-15548
  • CVE-2017-15549
  • CVE-2017-15550

Recommandations
+

Correctifs

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.