United States Computer Emergency Readiness Team (US-CERT)は9月20日(米国時間)、「VMware Releases Security Updates for Multiple Products」において、VMwareの複数の製品に脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。今回、脆弱性を抱える製品が多く、該当する製品を使用しているかチェックすることが望まれる。

脆弱性の影響を受けるとされる製品は次のとおり。

  • VMware vSphere ESXi 670-201904101-SGよりも前のバージョンの6.7
  • VMware vSphere ESXi 650-201903401-SGよりも前のバージョンの6.5
  • VMware vSphere ESXi 600-201909101-SGよりも前のバージョンの6.0
  • VMware Workstation Pro 15.5.0よりも前のバージョンの15系
  • VMware Workstation Player 15.5.0よりも前のバージョンの15系
  • VMware Fusion Pro 11.5.0よりも前の11系
  • VMware Fusion 11.5.0よりも前の11系
  • VMware Remote Console for Windows 10.0.5よりも目の10系
  • VMware Remote Console for Linux 10.0.5よりも目の10系
  • VMware Horizon Client for Windows 5.2.0よりも前の5系およびこれよりも前のバージョン
  • VMware Horizon Client for Linux 5.2.0よりも前の5系およびこれよりも前のバージョン
  • VMware Horizon Client for Mac 5.2.0よりも前の5系およびこれよりも前のバージョン

脆弱性に関する情報は次のページにまとまっている。

  • VMSA-2019-0014: VMware ESXi、Workstation、Fusion、VMRC and Horizon Client updates address use-after-free and denial of service vulnerabilities. (CVE-2019-5527、CVE-2019-5535)

    VMSA-2019-0014: VMware ESXi, Workstation, Fusion, VMRC and Horizon Client updates address use-after-free and denial of service vulnerabilities. (CVE-2019-5527, CVE-2019-5535)

VMwareからは脆弱性を修正するアップデートがリリースされている。上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートの適用を推奨している。仮想環境は一度稼働をはじめると止めることが難しく、脆弱性を抱えたバージョンのまま運用を続けることがある。セキュリティの観点からはアップデート計画を立案し、定期的に最新バージョンへアップグレードすることが望まれる。