ニュース

VMware製品でも中国のハッキング大会で発表された脆弱性を修正 ~深刻度“Critical”

「ESXi」「Workstation 15」「Fusion 11」などが影響

セキュリティアドバイザリ“VMSA-2020-0026”

 米VMwareは11月19日(現地時間)、セキュリティアドバイザリ“VMSA-2020-0026”を公開した。同社の仮想化製品「VMware ESXi」、「VMware Workstation」、「VMware Fusion」、「NSX-T」に複数の脆弱性が存在するという。

 同社のアドバイザリによると、今回発表された脆弱性はCVE番号ベースで2件。いずれも中国のハッキングコンテスト“天府杯 2020(Tianfu Cup 2020)”で「ESXi」の攻略に用いられた脆弱性で、とくにXHCI USBコントローラーにおけるメモリ解放後利用(use-after-free)の欠陥(CVE-2020-4004)は深刻度“Critical”(CVSSv3のベーススコア“9.3”)と評価されており、警戒を要する。もう1つの“CVE-2020-4005”は“CVE-2020-4004”などと組み合わせた場合のみ悪用が可能とのこと。

 同社は、以下の最新版への更新を呼び掛けている。何らかの事情でアップデートができない場合は、XHCI(USB 3.0)コントローラーを削除してもよいようだ。

  • ESXi 7.0:ESXi70U1b-17168206
  • ESXi 6.7:ESXi670-202011101-SG
  • ESXi 6.5:ESXi650-202011301-SG
  • Fusion 12.x:影響しない
  • Fusion 11.x:11.5.7
  • Workstation 16.x:影響しない
  • Workstation 15.x:15.5.7

 なお、「VMware Cloud Foundation(ESXi)」はまだ修正されていない。後日パッチが提供される。