Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Log4j」の脆弱性、VMwareの36製品に影響

「Apache Log4j」に深刻な脆弱性「CVE-2021-44228」が明らかとなった問題で、VMwareは、同社複数製品に対する影響を明らかにした。

「VMware Horizon」「VMware vCenter Server」をはじめ、「VMware WorkspaceOne Access」「VMware Carbon Black EDR Server」など幅広い製品に影響があり、現地時間12月11日の時点で36製品が影響を受けることが判明しているという。評価は現在も進められている。

脆弱性を悪用されると、対象製品においてリモートよりコードを実行されるおそれがあるとし、同社は脆弱性の重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングした。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「10.0」。

一部製品では、パッチの提供を開始しているが、多くの製品でパッチが保留中となっている。また回避策をアナウンスしているが、一部では回避策についても未提供となっている。

脆弱性の影響を受ける同社製品は以下のとおり。

VMware Horizon
VMware vCenter Server
VMware HCX
VMware NSX-T Data Center
VMware Unified Access Gateway
VMware WorkspaceOne Access
VMware Identity Manager
VMware vRealize Operations
VMware vRealize Operations Cloud Proxy
VMware vRealize Log Insight
VMware vRealize Automation
VMware vRealize Lifecycle Manager
VMware Telco Cloud Automation
VMware Site Recovery Manager
VMware Carbon Black Cloud Workload Appliance
VMware Carbon Black EDR Server
VMware Tanzu GemFire
VMware Tanzu Greenplum
VMware Tanzu Operations Manager
VMware Tanzu Application Service for VMs
VMware Tanzu Kubernetes Grid Integrated Edition
VMware Tanzu Observability by Wavefront Nozzle
Healthwatch for Tanzu Application Service
Spring Cloud Services for VMware Tanzu
Spring Cloud Gateway for VMware Tanzu
Spring Cloud Gateway for Kubernetes
API Portal for VMware Tanzu
Single Sign-On for VMware Tanzu Application Service
App Metrics
VMware vCenter Cloud Gateway
VMware Tanzu SQL with MySQL for VMs
VMware vRealize Orchestrator
VMware Cloud Foundation
VMware Workspace ONE Access Connector
VMware Horizon DaaS
VMware Horizon Cloud Connector

(Security NEXT - 2021/12/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Drupal」に複数脆弱性 - サードパーティ製ライブラリに起因
F5がセキュリティアップデート - 脆弱性25件を修正
「Adobe Acrobat/Reader」のアップデートが公開 - 26件の脆弱性を解消
Google、深刻な脆弱性に対処した「Chrome 97.0.4692.99」をリリース
Oracle、四半期定例パッチをリリース - 約500件の脆弱性に対応
PHP向けメールフォームプログラムに脆弱性 - 昨年の更新で修正済み
「Java SE」に18件の脆弱性 - 定例パッチで修正
キヤノン製レーザープリンタや複合機にXSS脆弱性
Zohoの端末管理製品に深刻な脆弱性 - バグ報奨金制度通じて報告
Check Pointのエンドポイントソフトに権限昇格のおそれ