VMware製品に緊急の脆弱性、ただちに確認とアップデートを

VMwareは10月25日(米国時間)、「VMSA-2022-0027」において、「VMware Cloud Foundation」に存在する複数の脆弱性に対処するためのセキュリティパッチをリリースしたと伝えた。脆弱性の一つはリモートコード実行(RCE: Remote Code Execution)の脆弱性に関係するものとされており、注意が必要。

修正された脆弱性は次のとおり。

CVE-2021-39144
CVE-2022-31678

影響を受ける製品およびバージョンは次のとおり。

VMware Cloud Foundation (NSX-V) 3.11以前のバージョン

CVE-2021-39144は、オープンソースライブラリである「XStream」の欠陥とされている。VMware Cloud Foundationの入力シリアル化にXStreamが使われており、未認証のエンドポイントによって悪意のある行為者がアプライアンス上の「root」のコンテキストでリモートコード実行が可能とされている。この脆弱性の深刻度はCVSSv3スコア値9.8で緊急(Critical)と位置づけられている。

CVE-2022-31678はXML外部実体(XXE: XML External Entity)の脆弱性とされており、未認証のユーザーがこの問題を悪用し、サービス運用妨害(DoS: Denial of Service)状態や意図しない情報漏えいを引き起こす可能性があるとされている。この脆弱性の深刻度はCVSSv3スコア値5.3で警告(Medium)と位置づけられている。

VMware Cloud Foundationを利用しているユーザーは潜在的な脅威を軽減するため、速やかにパッチを適用することが推奨されている。