複数のVMware製品にOSコマンドインジェクションの脆弱性、パッチは近日中に公開予定 | ScanNetSecurity
2024.03.19(火)

複数のVMware製品にOSコマンドインジェクションの脆弱性、パッチは近日中に公開予定

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、複数のVMware製品に存在するOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、複数のVMware製品に存在するOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

VMware Workspace One Access (Linux 版) バージョン 20.01 および 20.10
VMware Identity Manager (Linux 版) バージョン 3.3.1, 3.3.2 および 3.3.3
VMware Identity Manager Connector (Linux 版) バージョン 3.3.1 および 3.3.2
VMware Identity Manager Connector (Windows 版) バージョン 3.3.1, 3.3.2 および 3.3.3
VMware Cloud Foundation バージョン 4.x
vRealize Suite Lifecycle Manager バージョン 8.x

JVNによると、VMwareが提供する複数の製品には、OSコマンドインジェクション(CWE-78)の脆弱性が存在し、想定される影響としては、管理者権限を取得し8443/TCPポートの管理用設定機能にアクセス可能な遠隔の第三者によって、当該製品が動作しているOS上で任意のOSコマンドを実行される可能性がある。

11月24日現在で、本脆弱性への対策方法は公開されていないが、開発者によるとパッチを近日中に公開予定。ただし、VMware Workspace One Access(Linux 版)、VMware Identity Manager(Linux 版)、VMware Identity Manager Connector(Linux 版)、VMware Identity Manager Connector(Windows 版)については、開発者より回避策が公開されており、適用することで本脆弱性の影響を軽減することが可能。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. テレビ新潟放送網にサイバー攻撃、データが暗号化被害

    テレビ新潟放送網にサイバー攻撃、データが暗号化被害

  2. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

    サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  3. 善意目的でスパム46万通、慈善団体が当局からお目玉

    善意目的でスパム46万通、慈善団体が当局からお目玉

  4. マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

    マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

  5. 経済産業省「攻撃技術情報の取扱い・活用手引き」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定

    経済産業省「攻撃技術情報の取扱い・活用手引き」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定

  6. NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

    NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

  7. 理研計器の開発センターで放射性同位元素が所在不明に

    理研計器の開発センターで放射性同位元素が所在不明に

  8. 経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

    経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

  9. 愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

    愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

  10. NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

    NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

ランキングをもっと見る