VMwareは12月22日(米国時間)、VMware ESXi/ESXにvCenter ServerとESX上から権限のないユーザーが任意のファイルにアクセスできる脆弱性があったとし、修正パッチを配布した。
セキュリティアドバイザリ(VMSA-2013-0016)によると、この脆弱性は、ESXi/ESXの仮想マシンのファイル記述子の取り扱いに関する脆弱性により、vCenter上の権限のないユーザーが「既存ディスクを追加(Add Existing Disk)」を実行し、ESXi/ESX上の任意のファイルにアクセスできてしまうというもの。また、同じファイル記述子に関する脆弱性により、ESX上の権限のないローカルユーザーがESXi/ESX上の任意のファイルにアクセスできてしまう。なお、VMware vCloud Directorからは、この問題は発生しないとのこと。
対象となるESXi/ESXのバージョンは、ESX 4.0/4.1、ESXi 4.0/4.1、ESXi 5.0/5.1/5.5。パッチファイル名は、ESXi 5.0と5.1の場合で、それぞれupdate-from-esxi5.0-5.0_update03.zipとESXi510-201312001.zipなどとなる。CVE番号は、CVE-2013-5973。
