「Apache Log4j」の脆弱性、VMwareの36製品に影響
「Apache Log4j」に深刻な脆弱性「CVE-2021-44228」が明らかとなった問題で、VMwareは、同社複数製品に対する影響を明らかにした。
「VMware Horizon」「VMware vCenter Server」をはじめ、「VMware WorkspaceOne Access」「VMware Carbon Black EDR Server」など幅広い製品に影響があり、現地時間12月11日の時点で36製品が影響を受けることが判明しているという。評価は現在も進められている。
脆弱性を悪用されると、対象製品においてリモートよりコードを実行されるおそれがあるとし、同社は脆弱性の重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングした。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「10.0」。
一部製品では、パッチの提供を開始しているが、多くの製品でパッチが保留中となっている。また回避策をアナウンスしているが、一部では回避策についても未提供となっている。
脆弱性の影響を受ける同社製品は以下のとおり。
VMware Horizon
VMware vCenter Server
VMware HCX
VMware NSX-T Data Center
VMware Unified Access Gateway
VMware WorkspaceOne Access
VMware Identity Manager
VMware vRealize Operations
VMware vRealize Operations Cloud Proxy
VMware vRealize Log Insight
VMware vRealize Automation
VMware vRealize Lifecycle Manager
VMware Telco Cloud Automation
VMware Site Recovery Manager
VMware Carbon Black Cloud Workload Appliance
VMware Carbon Black EDR Server
VMware Tanzu GemFire
VMware Tanzu Greenplum
VMware Tanzu Operations Manager
VMware Tanzu Application Service for VMs
VMware Tanzu Kubernetes Grid Integrated Edition
VMware Tanzu Observability by Wavefront Nozzle
Healthwatch for Tanzu Application Service
Spring Cloud Services for VMware Tanzu
Spring Cloud Gateway for VMware Tanzu
Spring Cloud Gateway for Kubernetes
API Portal for VMware Tanzu
Single Sign-On for VMware Tanzu Application Service
App Metrics
VMware vCenter Cloud Gateway
VMware Tanzu SQL with MySQL for VMs
VMware vRealize Orchestrator
VMware Cloud Foundation
VMware Workspace ONE Access Connector
VMware Horizon DaaS
VMware Horizon Cloud Connector
(Security NEXT - 2021/12/13 )
ツイート
PR
関連記事
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
米当局、悪用リストに脆弱性3件を追加 - 最短で5月3日対応期限
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
「cPanel」に深刻な脆弱性、悪用も - 修正や侵害有無の確認を
「NVIDIA FLARE SDK」に複数の脆弱性 - 認証回避やコード実行のおそれ
「SonicOS」に複数の脆弱性 - 認証回避やDoSのおそれ
「Chrome」に30件の脆弱性 - 「クリティカル」が4件
「Nessus」「Nessus Agent」に脆弱性 - 任意ファイル削除のおそれ
「Apache MINA」に深刻な脆弱性2件 - アップデートを
米当局、脆弱性6件を悪用カタログに追加
