米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は8月5日(米国時間)、「VMware Releases Security Updates for Multiple Products|CISA」において、複数のVMware製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって機密情報の窃取が行われるおそれがある。

脆弱性に関する情報は次のページにまとまっている。

  • VMSA-2021-0016

    VMSA-2021-0016

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • VMware Workspace ONE Access バージョン20.10.0.1 (Linux版)
  • VMware Workspace ONE Access バージョン20.10 (Linux版)
  • VMware Workspace ONE Access バージョン20.01 (Linux版)
  • VMware Identity Manager バージョン3.3.5 (Linux版)
  • VMware Identity Manager バージョン3.3.4 (Linux版)
  • VMware Identity Manager バージョン3.3.3 (Linux版)
  • VMware Identity Manager バージョン3.3.2 (Linux版)
  • vRealize Automation (embedded vIDM) バージョン7.6 (Linux版)

vRealize Automation以外に関しては、次のページに修正パッチおよびそれに関する情報がまとめられている。

vRealize Automationに関しては、本稿執筆時点では修正パッチの提供は行われていないが、次のページに回避策が掲載されている。

脆弱性の深刻度は重要(Important)に分類されており注意が必要。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。