ニュース
VMware Cloud FoundationにCVSS v3スコア9.8の脆弱性 迅速にアップデートを
VMware Cloud Foundationに「緊急」の脆弱性が存在することが報告された。同脆弱性を悪用されるとシステムの制御権が乗っ取られる危険性があるとされ、注意が必要だ。迅速なアップデートの適用が求められる。
VMwareは2022年10月25日(現地時間)、同社のブログで、ハイブリッドクラウド基盤「VMware Cloud Foundation」に脆弱(ぜいじゃく)性が存在すると発表した。
同セキュリティアドバイザリは公開から2日後に更新されて、今回見つかった脆弱性を利用したサイバー攻撃が実行されている旨も追加されている。該当製品を利用している場合は直ちに確認し、アップデートを適用してほしい。
深刻度「緊急」の脆弱性 急ぎ対処を
脆弱性が存在する製品とバージョンは以下の通りだ。
- VMware Cloud Foundation(NSX-V) 3.11
脆弱性が修正された製品とバージョンは以下の通りだ。
- VMware Cloud Foundation(NSX-V) 3.11 KB 89809
修正対象の脆弱性の詳細は以下の通りだ。
- CVE-2021-39144:深刻度「緊急」(Critical)の脆弱性。XStreamオープンソースライブラリを利用したリモートコード実行の脆弱性。CVSS v3のスコア値は9.8と評価されており、緊急性の高い脆弱性と分析されている。既に同脆弱性を利用したサイバー攻撃が実行されていることが報告されており注意が必要
- CVE-2022-31678:XML外部実体(XXE:XML External Entity)に関する脆弱性。CVSS v3のスコア値は5.3で「警告」に位置付けられている
今回見つかった脆弱性には回避策などが提供されておらず、パッチを適用する方法のみが現時点で有効だ。該当製品を使用している場合、情報を再度確認するとともに迅速にアップデートを適用してほしい。
関連記事
- OpenSSLが「緊急」の脆弱性に対処 2022年11月1日に新バージョンをリリース
OpenSSLプロジェクトは2022年11月1日にセキュリティアップデートバージョン「OpenSSL 3.0.7」を公開すると発表した。深刻度「緊急」(CRITICAL)の脆弱性に対処するとされており、リリース後には迅速なアップデートの適用が求められる。 - 世界でサイバーセキュリティ人材はどのくらい不足しているのか? (ISC)2が調査結果発表
(ISC)2はグローバルでのサイバーセキュリティ人材調査の結果を発表した。調査によれば、サイバーセキュリティの人材は増加している。しかし、それでも必要な人材の確保に追い付いていない実態が明らかにされている。 - Cisco AnyConnect Secure Mobility Clientの脆弱性に注意 迅速にアップデートを
Cisco AnyConnect Secure Mobility Client for Windowsで見つかった脆弱性に関するセキュリティアドバイザリがアップデートされた。2年前に公開された脆弱性だが、積極的な悪用が確認されているため注意してほしい。 - VMware ESXi 6.5および6.7の一般サポートが終了 合計57.79%がサポート切れのまま
VMware ESXi 6.5およびVMware ESXi 6.7の一般サポートが2022年10月15日に終了した。延長サポートを購入すれば、追加2年間の2024年10月15日までサポートを得られる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.