United States Computer Emergency Readiness Team (US-CERT)は9月17日(米国時間)、「VMware Releases Security Updates for Multiple Products|CISA」において、VMwareの複数のプロダクトに脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- ESXi VMware Host Client 6.7
- ESXi VMware Host Client 6.6
- ESXi VMware Host Client 6.0
- vCenter Server vSphere Client (HTML5) 6.7
- vCenter Server vSphere Client (HTML5) 6.5
- vCenter Server vSphere Web Client (FLEX/Flash) 6.7
- vCenter Server vSphere Web Client (FLEX/Flash) 6.5
- vCenter Server vSphere Web Client (FLEX/Flash) 6.0
脆弱性に関する情報は次のページにまとまっている。
-
VMSA-2019-0013 - VMware ESXi and vCenter Server updates address command injection and information disclosure vulnerabilities. (CVE-2017-16544, CVE-2019-5531, CVE-2019-5532, CVE-2019-5534)
VMwareからは各製品の各バージョンについて修正版がリリースされているので、必要に応じてアップデートを適用することが推奨される。
