United States Computer Emergency Readiness Team (US-CERT)は11月23日(米国時間)、「VMware Releases Workarounds for CVE-2020-4006|CISA」において、VMwareの複数のプロダクトに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
- VMSA-2020-0027
- VU#724367 - VMware Workspace ONE Access and related components are vulnerable to command injection
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- VMware Workspace One Access 20.10(Linux版)
- VMware Workspace One Access 20.01(Linux版)
- VMware Identity Manager 3.3.2(Linux版)
- VMware Identity Manager 3.3.1(Linux版)
- VMware Identity Manager Connector 3.3.3(Windows版)
- VMware Identity Manager Connector 3.32(Linux版)
- VMware Identity Manager Connector 3.3.2(Windows版)
- VMware Identity Manager Connector 3.3.1(Linux版)
- VMware Identity Manager Connector 3.3.1(Windows版)
- VMware Cloud Foundation (vIDM) 4.x
- vRealize Suite Lifecycle Manager (vIDM) 8.x
-
VMSA-2020-0027
脆弱性はコマンドインジェクションに分類されているほか、深刻度は緊急(Critical)に分類されている。ただし、本稿執筆時点ではアップデートの提供は行われていない。該当するプロダクトを使用しているユーザーは、VMwareが提供している情報に基づいて回避策を実施し、アップデートが提供された段階で迅速にアップデートを適用することが望まれる。
