Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「VMware Aria Operations for Logs」に認証回避など複数の脆弱性

「VMware Aria Operations for Logs」に複数の脆弱性が明らかとなった。アップデートが提供されている。

外部に対して非公開のもと、2件の脆弱性について報告を受けたという。「CVE-2023-34051」は、認証のバイパスが可能となる脆弱性。アプライアンス上のOSへ認証なしにファイルを挿入でき、リモートよりコードを実行されるおそれがあるという。

また信頼できないデータをデシリアライズする「CVE-2023-34052」が明らかとなった。システムのローカル環境へアクセスできる場合、脆弱性を悪用することで認証をバイパスすることが可能になるという。

共通脆弱性評価システム「CVSSv3.1」のベーススコアはいずれも「8.1」としており、4段階の重要度において上から2番目にあたる「重要(Important)」とレーティングされている。

同社では、脆弱性の影響を受けない「同8.14」にアップデートするよう呼びかけている。あわせて「VMware Cloud Foundation」の利用者にも注意を喚起した。

(Security NEXT - 2023/10/20 ) このエントリーをはてなブックマークに追加

PR

関連記事

米セキュリティ当局、5件の悪用脆弱性に注意喚起
「Firefox」にクリティカル脆弱性 - 攻撃コード公開、悪用は未確認
「Chrome」にセキュ更新 - 「クリティカル」2件含む15件を修正
MS月例パッチで500件以上の脆弱性に対応 - ゼロデイ脆弱性も
「VMware Avi Load Balancer」に複数脆弱性 - 「クリティカル」も
「Adobe ColdFusion」に脆弱性 - 悪用リスク高く、早急に対応を
「SonicWall SMA1000シリーズ」にゼロデイ脆弱性 - 更新や侵害調査を
サイバー攻撃でシステム障害、冷凍食品の出荷に影響 - ニチレイ
個人情報含むファイルを誤送信、別ファイルと勘違い - 大阪市
「GCP」に他テナントのリポジトリを乗っ取れる脆弱性 - 5月に修正