Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「VMware vCenter Server」に2件の脆弱性 - アップデートが公開

「VMware vCenter Server」に情報漏洩をはじめ、2件の脆弱性が明らかとなった。アップデートが提供されている。

「vSphere Web Client(FLEX/Flash版)」に関連する2件の脆弱性が明らかとなったもの。いずれも非公開で同社に報告されたもので、443番ポートへアクセス可能な攻撃者によって悪用されるおそれがある。「vCenter Server 6.7」および「同6.5」のみ影響があるとしており、「同7.0」は影響を受けない。

「CVE-2021-21980」は、任意のファイルを読み取ることが可能となる脆弱性で、機密情報を窃取されるおそれがある。脆弱性の重要度は、上から2番目にあたる「重要(Important)」とレーティングされている。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」。

また「vSphereウェブクライアント」で利用するプラグイン「vSAN Web Client」に「サーバサイドリクエストフォージェリ(SSRF)」の脆弱性「CVE-2021-22049」が明らかとなった。重要度は1段階低い「中(Moderate)」、CVSS基本値は「6.5」と評価されている。

同社は脆弱性を修正した「同6.7 U3p」「同6.5 U3r」をリリースした。「Cloud Foundation 3.x」もこれら脆弱性の影響を受けるが、パッチの提供は保留となっており、注意が必要。

(Security NEXT - 2021/11/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

「baserCMS」に脆弱性 - アップデートで修正を実施
「VMware Workstation」「Fusion」にセキュリティアップデート
Fortinet、「FortiOS」のアップデートを追加
脆弱性判明した「ConnectWise ScreenConnect」、約1万8000件が稼働
「Microsoft Edge」にアップデート - MS独自含む脆弱性11件を解消
「Firefox 123」が公開 - 12件の脆弱性を修正
「ConnectWise ScreenConnect」に深刻な脆弱性 - ランサム攻撃にも悪用
ワークフロー管理の「Apache DolphinScheduler」に脆弱性
SonicWall「SMA 100シリーズ」の多要素認証機能に脆弱性
一部SonicWall製ファイアウォールの「SSL VPN機能」に脆弱性 - 認証バイパスのおそれ