VMware は本日、プライベートまたはパブリック環境でエンタープライズ アプリケーションを実行するためのハイブリッド クラウド プラットフォームである VMware Cloud Foundation の重大な脆弱性を修正するセキュリティ アップデートをリリースしました。
この欠陥 (CVE-2021-39144) は、Cloud Foundation によって使用される XStream オープンソース ライブラリにあり、VMware によって割り当てられた 9.8/10 のほぼ最大の CVSSv3 基本スコアを持っています。
ユーザーの操作を必要としない複雑さの低い攻撃では、認証されていない脅威グループによってリモートで悪用される可能性があります。
「VMware Cloud Foundation (NSX-V) の入力シリアライゼーションに XStream を利用する認証されていないエンドポイントが原因で、悪意のあるアクターがアプライアンスの「ルート」のコンテキストでリモート コードを実行できる」と、同社は本日のアドバイザリ リリースで説明しています。 .
Source Incite の Sina Kheirkhah と Steven Seeley によって報告された問題の深刻さのため、VMware はサポートが終了した製品のセキュリティ パッチもリリースしました。
この問題に対処するために、VMware は XStream をバージョン 1.4.19 に更新して CVE-2021-39144 を解決し、パッチが適用されていないサーバーを標的とする悪用の試みをブロックしました。
同社はまた、XML 外部エンティティ インジェクション (XXE) 攻撃の成功後にサービス拒否を引き起こしたり、情報を公開したりする可能性のある 2 つ目の欠陥 (CVE-2022-31678) に対するパッチを発行しました。
回避策も提供
VMware は、アプライアンスにすぐにパッチを適用できないユーザー向けの一時的なソリューションも提供します。
別のサポート ドキュメントに記載されている手順では、管理者が Cloud Foundation 環境内の各 SDDC マネージャー仮想マシンにログインする必要があります。
侵入したら、XStream ライブラリをバージョン 1.4.19 にアップグレードする NSX for vSphere (NSX-V) ホット パッチを適用する必要があります。これにより、攻撃ベクトルが削除されます。
ただし、本日リリースされた CVE-2021-39144 セキュリティ更新プログラムの適用とは異なり、この回避策では、管理者は「新しい VI ワークロード ドメインが作成される」たびにこれらの手順を実行する必要があります。
Comments