vCenter ServerにCVSS 9.8の脆弱性 回避策なしのため迅速なアップデートを:セキュリティニュースアラート
VMware vCenter Serverに境界外書き込みおよび情報漏えいの脆弱性が見つかった。1つはCVSS 9.8で深刻度「緊急」(Critical)に分類されている。主力スイートの中心的製品であることから迅速なアップデートの適用が求められる。
VMwareは2023年10月25日(現地時間)、サーバ管理ソフトウェア「VMware vCenter Server」に境界外書き込み(CVE-2023-34048)および情報漏えい(CVE-2023-34056)の脆弱(ぜいじゃく)性が存在すると伝えた。
CVE-2023-34048は共通脆弱性評価システム(CVSS)v3のスコア値で9.8、深刻度「緊急」(Critical)に分類されている。
vCenter ServerにCVSS 9.8の脆弱性 回避策はなし
VMwareはVMware vCenter ServerのDCERPCプロトコルの実装にCVE-2023-34048の脆弱性が見つかったとしている。これを悪用すると、ネットワークアクセスを有している場合、境界外書き込みを引き起こしてリモートから任意のコードを実行できる可能性がある。この脆弱性に対する回避策は存在しないため、該当製品を使用している場合は修正版にアップデートすることが推奨されている。
影響を受ける製品とバージョンは以下の通りだ。
- VMware vCenter Server 8.0
- VMware vCenter Server 7.0
- VMware Cloud Foundation(VMware vCenter Server) 5.x
- VMware Cloud Foundation(VMware vCenter Server) 4.x
脆弱性が修正された製品とバージョンは以下の通りだ。
- VMware vCenter Server 8.0U2
- VMware vCenter Server 8.0U1d
- VMware vCenter Server 7.0U3o
- VMware Cloud Foundation(VMware vCenter Server) 5.x KB88287
- VMware Cloud Foundation(VMware vCenter Server) 4.x KB88287
VMwareは通常、サポートが終了した製品にアップデートを提供することはないが、今回は脆弱性の重大性を踏まえて以下のバージョンにおいてもアップデートを提供している。
- VMware vCenter Server 6.7U3t
- VMware vCenter Server 6.5U3v
- VMware vCenter Server 8.0U1d
- VMware Cloud Foundation for VCF 3.x(vCenter Server 6.7 Update 3t patch)
VMware vCenter ServerはVMware vSphereスイートにおける重要なアプリケーションであり、同脆弱性がもたらす影響は大きいと言える。回避策が存在しないことからも、該当製品を使用している場合、迅速にアップデートを適用することが望まれる。
関連記事
- 見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。 - 米国の巨大ホテル企業が被害に遭った、Oktaユーザーを狙った“古くて新しい”攻撃とは?
MGM Resortsが被害に遭ったサイバー攻撃には、脅威グループ「AlphV」および脅威グループ「Muddled Libra」が関与しているものとみられる。彼らはどのような手法を使ったのか。 - curl 8.4.0がリリース 「おそらく最悪」と評価される脆弱性を修正
cURLプロジェクトはcurlの新しいバージョン「curl 8.4.0」を公開した。このバージョンでは開発者が「最悪の脆弱性」と称す脆弱性が修正されている。 - 警察庁が言う“ノーウェアランサム”とは何か? 新たな攻撃が生まれた背景を探る
警察庁が最近公開したレポートである言葉がちょっとした話題になりました。それは「ノーウェアランサム」。一体どういった攻撃手法なのでしょうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.