VMwareは4月20日(米国時間)、「VMSA-2023-0007 - VMware Aria Operations for Logs (Operations for Logs) update addresses multiple vulnerabilities」において、VMware Aria Operations for Logsに2つの脆弱性が存在すると伝えた。脆弱性の深刻度は緊急(Critial)および重要(Important)とされている。該当する製品を使用している場合にはただちにアップデートを適用することが望まれる。

VMSA-2023-0007 - VMware Aria Operations for Logs (Operations for Logs) update addresses multiple vulnerabilities

修正対象となっている脆弱性は次のとおり。

CVE-2023-20864 - 逆シリアライゼーションの脆弱性。この脆弱性を悪用されるとネットワークアクセス権を持つ認証されていない悪意あるユーザーがroot権限で任意のコードを実行する可能性がある。共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値は9.8で緊急(Critical)の脆弱性と分析されている

CVE-2023-20865 - コマンドインジェクションの脆弱性。この脆弱性を悪用されると、root権限で任意のコマンドが実行される可能性がある。共通脆弱性評価システムのスコア値は7.2で重要(Important)と分析されている

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

VMware Aria Operations for Logs (Operations for Logs) バージョン8.6.x

VMware Aria Operations for Logs (Operations for Logs) バージョン8.8.x

VMware Aria Operations for Logs (Operations for Logs) バージョン8.10

VMware Aria Operations for Logs (Operations for Logs) バージョン8.10.2

VMware Cloud Foundation (VMware Aria Operations for Logs バージョン4.x

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

VMware Aria Operations for Logs (Operations for Logs) バージョン8.12

VMware Cloud Foundation (VMware Aria Operations for Logs) バージョン4.x KB91865

一時的に問題を回避する方法はないとされている。すでに修正したバージョンが公開されていることから、該当する製品を使用している場合には修正されたバージョンへアップデートすることが望まれる。