VMwareに緊急の脆弱性、ただちにアップデートを
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は8月3日(米国時間)、「VMware Releases Security Updates|CISA」において、VMwareの複数製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
VMSA-2022-0021 - VMware Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector and vRealize Automation updates address multiple vulnerabilities
VMSA-2022-0021 - VMware Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector and vRealize Automation updates address multiple vulnerabilities
脆弱性が存在するとされるプロダクトは次のとおり。
VMware Workspace ONE Access (Access)
VMware Workspace ONE Access Connector (Access Connector)
VMware Identity Manager (vIDM)
VMware Identity Manager Connector (vIDM Connector)
VMware vRealize Automation (vRA)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
今回のセキュリティアドバイザリでは、CVE-2022-31656、CVE-2022-31657、CVE-2022-31658、CVE-2022-31659、CVE-2022-31660、CVE-2022-31661、CVE-2022-31662、CVE-2022-31663、CVE-2022-31664、CVE-2022-31665が修正対象となっている。主な脆弱性の内容は次のとおり。
認証バイパス
JDBCインジェクションリモートコード実行
SQLインジェクションリモートコード実行
URLインジェクション
ローカル特権昇格
パストラバーサル
クロスサイトスクリプティング
脆弱性の一部は深刻度が緊急(Critical)に分類されており注意が必要。今回修正対象となっているプロダクトは以前明らかになった脆弱性が広範囲にわたって悪用されているとして繰り返しアップデートが呼びかけられている。こうした状況の中、さらに新しい脆弱性が発見されたことになる。
VMSA-2022-0021 - VMware Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector and vRealize Automation updates address multiple vulnerabilities
VMSA-2022-0021 - VMware Workspace ONE Access, Access Connector, Identity Manager, Identity Manager Connector and vRealize Automation updates address multiple vulnerabilities
脆弱性が存在するとされるプロダクトは次のとおり。
VMware Workspace ONE Access (Access)
VMware Workspace ONE Access Connector (Access Connector)
VMware Identity Manager (vIDM)
VMware Identity Manager Connector (vIDM Connector)
VMware vRealize Automation (vRA)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
今回のセキュリティアドバイザリでは、CVE-2022-31656、CVE-2022-31657、CVE-2022-31658、CVE-2022-31659、CVE-2022-31660、CVE-2022-31661、CVE-2022-31662、CVE-2022-31663、CVE-2022-31664、CVE-2022-31665が修正対象となっている。主な脆弱性の内容は次のとおり。
認証バイパス
JDBCインジェクションリモートコード実行
SQLインジェクションリモートコード実行
URLインジェクション
ローカル特権昇格
パストラバーサル
クロスサイトスクリプティング
脆弱性の一部は深刻度が緊急(Critical)に分類されており注意が必要。今回修正対象となっているプロダクトは以前明らかになった脆弱性が広範囲にわたって悪用されているとして繰り返しアップデートが呼びかけられている。こうした状況の中、さらに新しい脆弱性が発見されたことになる。