複数のVMware製品にOSコマンドインジェクションの脆弱性、パッチは近日中に公開予定 | ScanNetSecurity
2021.01.21(木)

複数のVMware製品にOSコマンドインジェクションの脆弱性、パッチは近日中に公開予定

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、複数のVMware製品に存在するOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、複数のVMware製品に存在するOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

VMware Workspace One Access (Linux 版) バージョン 20.01 および 20.10
VMware Identity Manager (Linux 版) バージョン 3.3.1, 3.3.2 および 3.3.3
VMware Identity Manager Connector (Linux 版) バージョン 3.3.1 および 3.3.2
VMware Identity Manager Connector (Windows 版) バージョン 3.3.1, 3.3.2 および 3.3.3
VMware Cloud Foundation バージョン 4.x
vRealize Suite Lifecycle Manager バージョン 8.x

JVNによると、VMwareが提供する複数の製品には、OSコマンドインジェクション(CWE-78)の脆弱性が存在し、想定される影響としては、管理者権限を取得し8443/TCPポートの管理用設定機能にアクセス可能な遠隔の第三者によって、当該製品が動作しているOS上で任意のOSコマンドを実行される可能性がある。

11月24日現在で、本脆弱性への対策方法は公開されていないが、開発者によるとパッチを近日中に公開予定。ただし、VMware Workspace One Access(Linux 版)、VMware Identity Manager(Linux 版)、VMware Identity Manager Connector(Linux 版)、VMware Identity Manager Connector(Windows 版)については、開発者より回避策が公開されており、適用することで本脆弱性の影響を軽減することが可能。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男

    世界ではじめて脆弱性診断士資格「セキュリスト(SecuriST)」を作った三人の男PR

  2. カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認

    カプコンへのランサムウェア攻撃、新たに16,406人の情報流出を確認

  3. 神奈川県と富士通リースがHDD盗難のクリスマス和解 ~ 賠償 4,097 万円 再発防止策差し引き和解金 2,369 万円で合意

    神奈川県と富士通リースがHDD盗難のクリスマス和解 ~ 賠償 4,097 万円 再発防止策差し引き和解金 2,369 万円で合意

  4. kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出

    kintoneに連携「kMailer」で不具合、送信ログとして別顧客の情報が流出

  5. 一体どうバランスを取るか?  高度なサイバー攻撃対策 & 日々のセキュリティ運用

    一体どうバランスを取るか? 高度なサイバー攻撃対策 & 日々のセキュリティ運用PR

  6. ソフトバンク元社員 不正競争防止法違反容疑で逮捕、楽天モバイルに技術情報持ち出し疑い

    ソフトバンク元社員 不正競争防止法違反容疑で逮捕、楽天モバイルに技術情報持ち出し疑い

  7. #NoMoreFake 第3回「ファクトチェック」

    #NoMoreFake 第3回「ファクトチェック」

  8. マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み

    マイクロソフトが1月のセキュリティ情報を公開、一部脆弱性については悪用の事実を確認済み

  9. Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report)

    Sysinternals Suite PsExec において名前付きパイプのハイジャックによりSYSTEM 権限が奪取可能となる手法(Scan Tech Report)

  10. IDC予測、2024年までのセキュリティ製品サービス市場規模

    IDC予測、2024年までのセキュリティ製品サービス市場規模

ランキングをもっと見る