VMwareが緊急および重要な脆弱性を発表 該当する場合は直ちに対応を

VMwareが脆弱性を公表した。該当する製品を使っている場合は迅速なアップデートが望まれる。

[後藤大地，有限会社オングス]

　VMwareは2023年4月20日（現地時間）、「VMware Aria Operations for Logs」に複数の脆弱（ぜいじゃく）性が存在すると伝えた。これらの脆弱性はデシリアライゼーションとコマンドインジェクションに関連しており、それぞれ緊急（Critical）および重要（Important）と評価されている。VMwareは既に修正したバージョンを公開しており、該当製品を使用している場合は迅速なアップデートが推奨されている。

VMSA-2023-0007（出典：VMwareのWebサイト）

VMware Aria Operations for Logsにおける脆弱性、回避策はなし

　VMwareが公開した脆弱性を悪用された場合、root権限で任意のコードやコマンドが実行される可能性がある。

　今回のアップデートで修正対象となっている脆弱性を以下の通りだ。

• CVE-2023-20864：デシリアライゼーションにおける脆弱性。認証されていないユーザーであってもVMware Aria Operations for Logsにアクセス可能なネットワークに接続できればroot権限で任意のコードを実行可能。共通脆弱性評価システム（CVSS）v3のスコア値は9.8とされており、「緊急」（Critical）と評価されている
• CVE-2023-20865：コマンドインジェクションの脆弱性。VMware Aria Operations for Logsで特権を持っている状態で任意のコマンドが実行できる。CVSSv3のスコア値は7.2で「重要」（Important）と評価されている

　脆弱性が存在するとされる製品は以下の通りだ。

• VMware Aria Operations for Logs（Operations for Logs） バージョン8.10.2
• VMware Aria Operations for Logs（Operations for Logs） バージョン8.10
• VMware Aria Operations for Logs（Operations for Logs） バージョン8.8.x
• VMware Aria Operations for Logs（Operations for Logs） バージョン8.6.x
• VMware Cloud Foundation（VMware Aria Operations for Logs バージョン4.x

　脆弱性が修正された製品は以下の通りだ。

• VMware Aria Operations for Logs（Operations for Logs） バージョン8.12
• VMware Cloud Foundation（VMware Aria Operations for Logs） バージョン4.x KB91865

　VMwareはこの脆弱性を緩和したり回避したりする一時的な方法は存在しないとしており、脆弱性が修正されたバージョンへのアップデートを推奨している。