VMware vCenter Serverに緊急の脆弱性、アップデートを
マイナビニュース / 2024年6月20日 7時57分
Broadcomは6月18日(米国時間)、「Support Content Notification - Support Portal - Broadcom support portal」において、VMware vCenter Serverの複数の脆弱性を修正したと発表した。これら脆弱性を悪用されると、リモートから任意のコードを不正に実行される可能性がある。
○脆弱性の情報
修正された脆弱性に関する情報は次のページにまとまっている。
VMSA-2024-0012: Questions & Answers | VMware
VMware vCenter Server 8.0 Update 2d Release Notes
VMware vCenter Server 8.0 Update 1e Release Notes
VMware vCenter Server 7.0 Update 3r Release Notes
修正された脆弱性の情報(CVE)は次のとおり。
CVE-2024-37079、CVE-2024-37080 - DCERPCプロトコルの実装にヒープオーバーフローの脆弱性。攻撃者は特別に細工したパケットを送信することで、リモートコード実行(RCE: Remote Code Execution)が可能
CVE-2024-37081 - sudoの設定に不具合。管理者権限を持たない認証済みの攻撃者は、この不具合を悪用することで管理者権限を取得できる可能性がある
○脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
VMware vCenter Server 8.0
VMware vCenter Server 7.0
VMware Cloud Foundation 5.x
VMware Cloud Foundation 4.x
○脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
VMware vCenter Server 8.0 U2d
VMware vCenter Server 8.0 U1e
VMware vCenter Server 7.0 U3r
VMware Cloud Foundationの修正については「Applying individual product updates to VMware Cloud Foundation environments using Async Patch Tool (AP Tool)」から確認することができる。
○対策
修正された脆弱性のうち最も深刻度の高いものは緊急(Critical)と評価されており注意が必要。これら脆弱性に対する軽減策は提供されない。当該製品を運用している管理者は、影響を確認して速やかにアップデートすることが推奨されている。
なお、VMware vCenter Server 7.0でカスタム暗号を有効にしている場合、アップデートに失敗する可能性がある。Broadcomはこの問題に関するナレッジベースを「"An error occurred while starting service 'vpxd-svcs'", vCenter Server patching to 7.0 U3q fails due to unsupported TLS Ciphers in Envoy Configuration」にて公開しており、この指示に従いアップデートを実施することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Apple AirPodsに盗聴の可能性、修正アップデートリリース
マイナビニュース / 2024年6月27日 16時46分
-
トレンドマイクロの複数製品に脆弱性、アップデートを - JPCERT/CC注意喚起
マイナビニュース / 2024年6月20日 17時41分
-
Microsoft、脆弱性修正する6月の累積更新プログラムを配信開始
マイナビニュース / 2024年6月12日 12時10分
-
脆弱性最新情報 - Check Point VPN、FortiSIEM、Linuxカーネルで悪用確認
マイナビニュース / 2024年6月7日 7時25分
-
押さえておくべき脆弱性の最新情報
マイナビニュース / 2024年5月30日 11時53分
ランキング
-
1複数のWordPressプラグインにバックドア、確認と対策を
マイナビニュース / 2024年6月28日 8時48分
-
2Linuxのセキュリティ機能悪用してAndroidデバイス狙うマルウェア登場
マイナビニュース / 2024年6月28日 7時31分
-
3KADOKAWA、クリエイターの個人情報漏えいを確認 取引先との契約書なども
ITmedia NEWS / 2024年6月28日 18時45分
-
4楽天モバイル、ついにプラチナバンド開始 都市部の穴を埋めるのがメイン
ASCII.jp / 2024年6月27日 17時20分
-
5「ご乱心wwww」 実写ドラマを見て“キレる”原作者に「信頼できるオタクの反応」「限界オタク」
ねとらぼ / 2024年6月28日 18時30分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください