vCenter ServerにCVSS 9.8の脆弱性 回避策なしのため迅速なアップデートをセキュリティニュースアラート

VMware vCenter Serverに境界外書き込みおよび情報漏えいの脆弱性が見つかった。1つはCVSS 9.8で深刻度「緊急」(Critical)に分類されている。主力スイートの中心的製品であることから迅速なアップデートの適用が求められる。

» 2023年10月27日 08時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 VMwareは2023年10月25日(現地時間)、サーバ管理ソフトウェア「VMware vCenter Server」に境界外書き込み(CVE-2023-34048)および情報漏えい(CVE-2023-34056)の脆弱(ぜいじゃく)性が存在すると伝えた。

 CVE-2023-34048は共通脆弱性評価システム(CVSS)v3のスコア値で9.8、深刻度「緊急」(Critical)に分類されている。

VMwareはVMware vCenter Serverの脆弱性を報告した(出典:VMwareのWebサイト)

vCenter ServerにCVSS 9.8の脆弱性 回避策はなし

 VMwareはVMware vCenter ServerのDCERPCプロトコルの実装にCVE-2023-34048の脆弱性が見つかったとしている。これを悪用すると、ネットワークアクセスを有している場合、境界外書き込みを引き起こしてリモートから任意のコードを実行できる可能性がある。この脆弱性に対する回避策は存在しないため、該当製品を使用している場合は修正版にアップデートすることが推奨されている。

 影響を受ける製品とバージョンは以下の通りだ。

  • VMware vCenter Server 8.0
  • VMware vCenter Server 7.0
  • VMware Cloud Foundation(VMware vCenter Server) 5.x
  • VMware Cloud Foundation(VMware vCenter Server) 4.x

 脆弱性が修正された製品とバージョンは以下の通りだ。

  • VMware vCenter Server 8.0U2
  • VMware vCenter Server 8.0U1d
  • VMware vCenter Server 7.0U3o
  • VMware Cloud Foundation(VMware vCenter Server) 5.x KB88287
  • VMware Cloud Foundation(VMware vCenter Server) 4.x KB88287

 VMwareは通常、サポートが終了した製品にアップデートを提供することはないが、今回は脆弱性の重大性を踏まえて以下のバージョンにおいてもアップデートを提供している。

  • VMware vCenter Server 6.7U3t
  • VMware vCenter Server 6.5U3v
  • VMware vCenter Server 8.0U1d
  • VMware Cloud Foundation for VCF 3.x(vCenter Server 6.7 Update 3t patch)

 VMware vCenter ServerはVMware vSphereスイートにおける重要なアプリケーションであり、同脆弱性がもたらす影響は大きいと言える。回避策が存在しないことからも、該当製品を使用している場合、迅速にアップデートを適用することが望まれる。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

あなたにおすすめの記事PR