vCenter ServerにCVSS 9.8の脆弱性 回避策なしのため迅速なアップデートを：セキュリティニュースアラート

VMware vCenter Serverに境界外書き込みおよび情報漏えいの脆弱性が見つかった。1つはCVSS 9.8で深刻度「緊急」（Critical）に分類されている。主力スイートの中心的製品であることから迅速なアップデートの適用が求められる。

[後藤大地，有限会社オングス]

　VMwareは2023年10月25日（現地時間）、サーバ管理ソフトウェア「VMware vCenter Server」に境界外書き込み（CVE-2023-34048）および情報漏えい（CVE-2023-34056）の脆弱（ぜいじゃく）性が存在すると伝えた。

　CVE-2023-34048は共通脆弱性評価システム（CVSS）v3のスコア値で9.8、深刻度「緊急」（Critical）に分類されている。

VMwareはVMware vCenter Serverの脆弱性を報告した（出典：VMwareのWebサイト）

vCenter ServerにCVSS 9.8の脆弱性　回避策はなし

　VMwareはVMware vCenter ServerのDCERPCプロトコルの実装にCVE-2023-34048の脆弱性が見つかったとしている。これを悪用すると、ネットワークアクセスを有している場合、境界外書き込みを引き起こしてリモートから任意のコードを実行できる可能性がある。この脆弱性に対する回避策は存在しないため、該当製品を使用している場合は修正版にアップデートすることが推奨されている。

　影響を受ける製品とバージョンは以下の通りだ。

• VMware vCenter Server 8.0
• VMware vCenter Server 7.0
• VMware Cloud Foundation（VMware vCenter Server） 5.x
• VMware Cloud Foundation（VMware vCenter Server） 4.x

　脆弱性が修正された製品とバージョンは以下の通りだ。

• VMware vCenter Server 8.0U2
• VMware vCenter Server 8.0U1d
• VMware vCenter Server 7.0U3o
• VMware Cloud Foundation（VMware vCenter Server） 5.x KB88287
• VMware Cloud Foundation（VMware vCenter Server） 4.x KB88287

　VMwareは通常、サポートが終了した製品にアップデートを提供することはないが、今回は脆弱性の重大性を踏まえて以下のバージョンにおいてもアップデートを提供している。

• VMware vCenter Server 6.7U3t
• VMware vCenter Server 6.5U3v
• VMware vCenter Server 8.0U1d
• VMware Cloud Foundation for VCF 3.x（vCenter Server 6.7 Update 3t patch）

　VMware vCenter ServerはVMware vSphereスイートにおける重要なアプリケーションであり、同脆弱性がもたらす影響は大きいと言える。回避策が存在しないことからも、該当製品を使用している場合、迅速にアップデートを適用することが望まれる。