Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache Log4j」の脆弱性、VMwareの36製品に影響

「Apache Log4j」に深刻な脆弱性「CVE-2021-44228」が明らかとなった問題で、VMwareは、同社複数製品に対する影響を明らかにした。

「VMware Horizon」「VMware vCenter Server」をはじめ、「VMware WorkspaceOne Access」「VMware Carbon Black EDR Server」など幅広い製品に影響があり、現地時間12月11日の時点で36製品が影響を受けることが判明しているという。評価は現在も進められている。

脆弱性を悪用されると、対象製品においてリモートよりコードを実行されるおそれがあるとし、同社は脆弱性の重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングした。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「10.0」。

一部製品では、パッチの提供を開始しているが、多くの製品でパッチが保留中となっている。また回避策をアナウンスしているが、一部では回避策についても未提供となっている。

脆弱性の影響を受ける同社製品は以下のとおり。

VMware Horizon
VMware vCenter Server
VMware HCX
VMware NSX-T Data Center
VMware Unified Access Gateway
VMware WorkspaceOne Access
VMware Identity Manager
VMware vRealize Operations
VMware vRealize Operations Cloud Proxy
VMware vRealize Log Insight
VMware vRealize Automation
VMware vRealize Lifecycle Manager
VMware Telco Cloud Automation
VMware Site Recovery Manager
VMware Carbon Black Cloud Workload Appliance
VMware Carbon Black EDR Server
VMware Tanzu GemFire
VMware Tanzu Greenplum
VMware Tanzu Operations Manager
VMware Tanzu Application Service for VMs
VMware Tanzu Kubernetes Grid Integrated Edition
VMware Tanzu Observability by Wavefront Nozzle
Healthwatch for Tanzu Application Service
Spring Cloud Services for VMware Tanzu
Spring Cloud Gateway for VMware Tanzu
Spring Cloud Gateway for Kubernetes
API Portal for VMware Tanzu
Single Sign-On for VMware Tanzu Application Service
App Metrics
VMware vCenter Cloud Gateway
VMware Tanzu SQL with MySQL for VMs
VMware vRealize Orchestrator
VMware Cloud Foundation
VMware Workspace ONE Access Connector
VMware Horizon DaaS
VMware Horizon Cloud Connector

(Security NEXT - 2021/12/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Cisco ISE」の脆弱性、順次パッチ提供 - リリース後は悪用コードが利用可能に
狙われる顧客管理ツール「SugarCRM」の脆弱性 - 米政府も注意喚起
「スシロー」のAndroidアプリにパスワード漏洩のおそれ - アップデートを
「VMware vROps」にCSRFの脆弱性 - アップデートが公開
脅威情報共有プラットフォーム「MISP」に脆弱性 - パッチで修正
脆弱性スキャナ「Nessus」にセキュリティアップデート
「VMware vRealize Log Insight」の深刻な脆弱性、PoCが公開
コンテナ管理プラットフォーム「Rancher」に深刻な脆弱性
macOS向けアップデート - 複数脆弱性を修正
狙われる「Telerik UI for ASP.NET AJAX」の既知脆弱性