Nous sommes impatients de présenter à nouveau Transform 2022 en personne le 19 juillet et virtuellement du 20 juillet au 3 août. Rejoignez-nous pour des conversations perspicaces et des opportunités de réseautage passionnantes. En savoir plus sur Transformer 2022
VMware a annoncé samedi que trois produits Tanzu sont « affectés » par la vulnérabilité RCE (Remote Code Execution) dans Spring Core, connue sous le nom de Spring4Shell.
La société a déclaré dans un avis que les trois produits concernés sont VMware Tanzu Application Service for VMs, VMware Tanzu Operations Manager et VMware Tanzu Kubernetes Grid Integrated Edition (TKGI).
« Un acteur malveillant ayant un accès réseau à un produit VMware affecté peut exploiter ce problème pour prendre le contrôle total du système cible », a déclaré VMware dans l’avis.
Selon le conseiller, des correctifs pour Tanzu Application Service for VMs (versions 2.11 et ultérieures), Tanzu Application Service (version 2.10) et Tanzu Operations Manager (versions 2.8 et ultérieures) sont désormais disponibles.
Au moment d’écrire ces lignes, l’avis de VMware indique que des correctifs sont en attente pour les versions concernées de TKGI, qui sont les versions 1.11 et ultérieures.
Les détails de la vulnérabilité, connue sous le nom de Spring4Shell, ont été divulgués mardi, et la vulnérabilité open source a été confirmée jeudi par Spring, propriété de VMware.
La vulnérabilité RCE (CVE-2022-22965) affecte JDK 9 ou version ultérieure et a plusieurs exigences supplémentaires pour qu’elle soit exploitée, y compris l’application fonctionnant sur Apache Tomcat, a déclaré Spring dans son article de blog jeudi.
Toutes les organisations utilisant le populaire framework Java Spring ont été invitées à appliquer des correctifs, qu’elles pensent ou non que leurs applications sont vulnérables.
Vulnérabilité critique
Désormais, VMware indique que sa plate-forme d’application Tanzu est également affectée par la vulnérabilité Spring4Shell. La vulnérabilité a reçu une cote de gravité CVSSv3 de 9,8, ce qui en fait un bogue « critique ».
En plus des détails sur les versions affectées des produits et correctifs Tanzu concernés, l’avis VMware fournit des liens vers des solutions de contournement pour le service d’application Tanzu pour les machines virtuelles et TKGI.
« À la date de cette publication, VMware a examiné son portefeuille de produits et déterminé que les produits répertoriés dans cet avis sont concernés », a déclaré la société dans son avis. « VMware continue d’enquêter sur cette vulnérabilité et mettra à jour l’avis s’il y a des changements. »
Alors que Spring4Shell est considéré comme une vulnérabilité « générale » – avec un potentiel d’exploits supplémentaires – le meilleur conseil est que tous les utilisateurs de Spring devraient corriger si possible, ont déclaré des experts à VentureBeat.
Cependant, même dans le pire des cas pour Spring4Shell, il est très peu probable qu’il devienne un problème aussi important que la vulnérabilité Log4Shell qui a affecté le logiciel Apache Log4j largement utilisé, selon les experts.
La mission de VentureBeat est destiné à être un marché numérique permettant aux décideurs techniques d’acquérir des connaissances sur la technologie d’entreprise transformatrice et d’effectuer des transactions. En savoir plus sur l’adhésion.