米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は11月12日(米国時間)、「VMware Releases Security Update for Tanzu Application Service for VMs|CISA」において、VMwareが提供している仮想マシン管理ツールの「Tanzu Application Service for VMs」に脆弱性が発見され、同社がセキュリティアップデートをリリースしたと伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムでサービス運用妨害(DDoS)が引き起こされる可能性がある。
VMwareより提供されたセキュリティアップデートに関する情報は次のページにまとめられている。
-
VMSA-2021-0026
「CVE-2021-22101」として追跡されているこの脆弱性は、Cloud FoundryのCloud Controller(CAPI)において発見されたもので、リモートの攻撃者によってREST HTTPリクエストを介してデータベース(ccdb)が使用不能になる巨大なSQLクエリが送られた場合にサービス運用妨害が引き起こされる危険性があるという。
影響を受けるバージョンは以下のとおり。
- VMware Tanzu Application Service for VMs 2.12.x
- VMware Tanzu Application Service for VMs 2.11.x
- VMware Tanzu Application Service for VMs 2.10.x
- VMware Tanzu Application Service for VMs 2.9.x
- VMware Tanzu Application Service for VMs 2.7.x
それぞれ、最新版にアップデートすることで脆弱性の影響を回避することができる。
CVE-2021-22101のCVSS v3のベーススコアは「7.5」で、深刻度「Important(重要)」に分類されている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、VMwareが提供するセキュリティアドバイザリを確認した上で必要なアップデートを適用することを推奨している。
