「VMware Aria Operations」に4件の脆弱性 - アップデートを提供

「VMware Aria Operations（旧vRealize Operations）」に複数の脆弱性が明らかとなった。アップデートが提供されている。

非公開で通知を受け、同製品において4件の脆弱性が判明し、修正を行なったもの。

「CVE-2023-20877」は、読み込み権限を持つユーザーによって悪用されるおそれがある権限昇格の脆弱性。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.8」、4段階の重要度において上から2番目にあたる「重要（Important）」とレーティングされている。

悪用にはアプリケーションの管理者権限が必要となるが、基盤となるシステムのroot権限を取得することが可能となる「CVE-2023-20879」「CVE-2023-20880」や、データの破壊が可能となる「CVE-2023-20878」など、重要度が1段階低い「中（Moderate）」とされる脆弱性3件についてもあわせて明らかとなった。

同社では脆弱性を修正するホットフィクス「同8.10 Hot Fix 4」「同8.6 Hot Fix 10」をリリースした。現地時間4月20日にリリースしたばかりの「同8.12」については影響を受けないとしている。またスイート製品である「VMware Cloud Foundation」についても更新するよう呼びかけている。

（Security NEXT - 2023/05/12 ） ツイート

PR

関連記事

「PAN-OS」脆弱性への攻撃、国内でも被害報告
メールの誤送信で学生のメアドが流出 - 都住宅供給公社
「ClamAV」にクリティカルパッチ - サービス拒否の脆弱性など修正
「サポート詐欺」で1000万円の被害 - ネット銀を遠隔操作
狂犬病予防接種会場で強風により申請書が飛散 - 京丹後市
開示したNPO法人事業報告書で墨塗り漏れが判明 - 山口県
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定
「PAN-OS」脆弱性、攻撃条件を修正 - 一部緩和策が「効果なし」に
「PAN-OS」脆弱性に対する攻撃が増加 - コマンドで悪用試行を確認可能
LINEヤフーに再度行政指導 - 報告受けるも対応や計画不十分