ニュース
VMware、vCenter Serverの重大な脆弱性に対応 回避策はなし:セキュリティニュースアラート
BroadcomはvCenter Serverの重大な脆弱性に対処した。脆弱性が悪用されると攻撃者によってリモートコード実行または権限昇格されてしまう可能性がある。
Broadcomは2024年10月21日(現地時間、以下同)、「VMware vCenter Server」(以下、vCenter Server)およびこれを含む製品(「vSphere」および「Cloud Foundation」)に影響を与える複数の重大な脆弱(ぜいじゃく)性に対処したことを発表した。
これらの脆弱性が悪用されると攻撃者によってリモートコード実行または権限昇格されてしまう可能性がある。修正された脆弱性の中には深刻度「緊急」(Critical)と評価されているものもあり注意が必要だ。
VMware製品に複数の脆弱性 回避策はないため急ぎアップデートを
今回のアップデートで修正対象となっている脆弱性は以下の通りだ。
- CVE-2024-38812: CVSSv3のスコアは9.8。vCenter ServerのDCERPCプロトコル実装にヒープオーバーフロー脆弱性が含まれている。特別に細工したネットワークパケットを送信することでリモートでコードを実行される可能性がある
- CVE-2024-38813: CVSSv3のスコアは7.5。vCenter Serverに権限昇格の脆弱性が含まれている。特別に細工したネットワークパケットを送信することで攻撃者の権限をrootユーザーに昇格させる可能性がある
脆弱性の影響を受けるプロダクトおよびバージョンは以下の通りだ。
- VMware vCenter Server 8.0
- VMware vCenter Server 7.0
- VMware Cloud Foundation 5.x
- VMware Cloud Foundation 5.1.x
- VMware Cloud Foundation 4.x
これらの脆弱性に対しては2024年9月17日に最初のセキュリティアドバイザリーが公開されている。しかしその時点で提供されたCVE-2024-38812に対するパッチが不完全であったため、今回あらためてパッチが修正され提供されている。
CVE-2024-38812、CVE-2024-38813に対する回避策はなく、脆弱性の影響を受けるシステムに対してはパッチ適用が唯一の解決策だ。アップデートが提供されているため、該当する製品を使用している場合には直ちに情報を確認するとともにアップデートを適用することが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
サポート切れが迫るのはWin10だけじゃない? 注意しておきたいもう一つのリミット
ついにWindows 10のサポート終了まで1年を切りました。さまざまな事情があるかとは思いますが、セキュリティ的にもOSのアップグレードは必須でしょう。これに加えてもう一つ、無視できない“サポート終了”の期限が迫っているようです。
イセトーのランサムウェア被害、感染経路はVPN 調査結果で明らかに
イセトーは2024年5月26日に発生したランサムウェア被害について、外部専門家によるフォレンジック調査の結果を公開した。それによると、ランサムウェアの感染経路はVPNであることが明らかになった。
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
NISTはパスワードに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を公開した。定期的なパスワード変更や異なる文字タイプの混在を要求しない方針を示している。
企業がOSSメンテナーに“ただ乗り” この風潮はいつ是正されるのか?
オープンソースソフトウェアの開発者と企業をはじめとしたソフトウェアユーザーとの間には、依然として格差が存在している。ソフトウェアユーザーが高いセキュリティ基準を求める一方で必要な投資をしないため、この風潮は変わっていない。