VMware

VMware は本日、プライベートまたはパブリック環境でエンタープライズ アプリケーションを実行するためのハイブリッド クラウド プラットフォームである VMware Cloud Foundation の重大な脆弱性を修正するセキュリティ アップデートをリリースしました。

この欠陥 (CVE-2021-39144) は、Cloud Foundation によって使用される XStream オープンソース ライブラリにあり、VMware によって割り当てられた 9.8/10 のほぼ最大の CVSSv3 基本スコアを持っています。

ユーザーの操作を必要としない複雑さの低い攻撃では、認証されていない脅威グループによってリモートで悪用される可能性があります。

「VMware Cloud Foundation (NSX-V) の入力シリアライゼーションに XStream を利用する認証されていないエンドポイントが原因で、悪意のあるアクターがアプライアンスの「ルート」のコンテキストでリモート コードを実行できる」と、同社は本日のアドバイザリ リリースで説明しています。 .

Source Incite の Sina Kheirkhah と Steven Seeley によって報告された問題の深刻さのため、VMware はサポートが終了した製品のセキュリティ パッチもリリースしました。

この問題に対処するために、VMware は XStream をバージョン 1.4.19 に更新して CVE-2021-39144 を解決し、パッチが適用されていないサーバーを標的とする悪用の試みをブロックしました。

同社はまた、XML 外部エンティティ インジェクション (XXE) 攻撃の成功後にサービス拒否を引き起こしたり、情報を公開したりする可能性のある 2 つ目の欠陥 (CVE-2022-31678) に対するパッチを発行しました。

回避策も提供

VMware は、アプライアンスにすぐにパッチを適用できないユーザー向けの一時的なソリューションも提供します。

別のサポート ドキュメントに記載されている手順では、管理者が Cloud Foundation 環境内の各 SDDC マネージャー仮想マシンにログインする必要があります。

侵入したら、XStream ライブラリをバージョン 1.4.19 にアップグレードする NSX for vSphere (NSX-V) ホット パッチを適用する必要があります。これにより、攻撃ベクトルが削除されます。

ただし、本日リリースされた CVE-2021-39144 セキュリティ更新プログラムの適用とは異なり、この回避策では、管理者は「新しい VI ワークロード ドメインが作成される」たびにこれらの手順を実行する必要があります。

今月初め、 VMware は、vCenter Server 8.0 (最新バージョン) にアップデートしたお客様に、ほぼ 1 年前の 2021 年 11 月に公開された重大度の高い権限昇格の脆弱性に対処するパッチを待つ必要があることを通知しました。