United States Computer Emergency Readiness Team (US-CERT)は2月15日(米国時間)、「VMware Releases Security Updates|US-CERT」において、複数のVMwareプロダクトに脆弱性が存在すると伝えた。
この脆弱性は、2019年2月12日に公開されたコンテナ・ランタイム「runc」に関わるもの。を悪用されると、この脆弱性を悪用して細工したコンテナを実行した場合、ホスト上の runc バイナリが意図せず上書きされ、その結果コンテナが起動しているホスト上で root 権限でコマンドが実行される恐れがある。
影響を受けると見られるプロダクトは次のとおり。
- VMware Integrated OpenStack with Kubernetes (VIO-K)
- VMware PKS (PKS)
- VMware vCloud Director Container Service Extension (CSE)
- vSphere Integrated Containers (VIC)
脆弱性に関する情報は次のページにまとまっている。
-
VMware Security Advisories -VMSA-2019-0001.1 - VMware product updates resolve mishandled file descriptor vulnerability in runc container runtime
Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。セキュリティ脆弱性の深刻度はどのプロダクトも重要(Important)と位置づけられている。
