ニュース
VMware Toolsに「重要」の脆弱性 権限昇格が可能になるリスク:セキュリティニュースアラート
VMwareはVMware Toolsに存在する2つの重要な脆弱性を公表した。これらのセキュリティ問題を回避するための一時的な方法は提供されていない。
VMwareは2023年10月26日(現地時間)、「VMware Tools」に複数の脆弱(ぜいじゃく)性が存在すると発表した。脆弱性の深刻度は共通脆弱性評価システム(CVSS)のスコア値で7.5〜7.8で「重要」(Important)と分析されており注意が必要だ。該当製品を使用している場合はアップデートを適用することが推奨されている。
現時点では、アップデートを適用する以外にこれらのセキュリティ問題を回避するための一時的な方法は提供されていない。
回避策は提供されず 急ぎアップデートで対応を
今回のアップデートで修正対象となった脆弱性は以下の通りだ。
- CVE-2023-34057: CVSSv3 7.8。VMware Tools(macOS版)におけるローカル特権昇格の脆弱性。ゲストマシンへのローカルユーザーアクセス権を持つ攻撃者が仮想マシン内で権限を昇格させる可能性がある
- CVE-2023-34058: CVSSv3 7.5。SAMLトークン署名バイパスの脆弱性。ターゲット仮想マシンでゲスト操作権限を付与されたサイバー攻撃者に特権のあるゲストエイリアスが割り当てられている場合に権限を昇格できる可能性がある
脆弱性の影響を受けるバージョンは以下の通りだ。
- VMware Tools 12.x.x、11.x.x、10.3.x(macOS)
- VMware Tools 12.x.x、11.x.x、10.3.x(Windows)
脆弱性が修正されたバージョンは以下の通りだ。
- VMware Tools 12.1.1(macOS)
- VMware Tools 12.3.5(Windows)
CVE-2023-34058については、VMware ToolsのLinuxゲストOS用オープンソース実装である「Open VM Tools」も影響を受けるため、Linux系OSベンダーやコミュニティーからリリースされる修正版にアップデートすることが望まれている。
同脆弱性については問題を一時的に回避する方法が提供されていない。該当製品を使用している場合、迅速にアップデートを適用してほしい。
関連記事
- vCenter ServerにCVSS 9.8の脆弱性 回避策なしのため迅速なアップデートを
VMware vCenter Serverに境界外書き込みおよび情報漏えいの脆弱性が見つかった。1つはCVSS 9.8で深刻度「緊急」(Critical)に分類されている。主力スイートの中心的製品であることから迅速なアップデートの適用が求められる。 - ビッグモーターが不正アクセス被害を報告 約7年分の個人情報が流出か
ビッグモーターは同社が運営するWebサイトに対し、第三者による不正アクセス被害が発生したと報告した。Webサイトの「お問い合わせフォーム」に連絡したユーザーの個人情報の一部が漏えいした可能性がある。 - Windowsのセキュリティログを集中管理 CISAがLogging Made Easyの最新版をリリース
CISAは「Logging Made Easy」の新しいバージョンをリリースした。これは小規模な組織向けのセルフインストールチュートリアルであり、Windowsのセキュリティログを集中管理できる。 - “ドメイン移管ロック”も効果なし…… 自社ドメインを守るためにできる3つのこと
会社の「顔」ともいえる「ドメイン」ですが、「重要な情報であり奪われてはならない資産」という認識を持っていない方もいます。これを盗まれるとどうなってしまうのでしょうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.