ニュース

VMware製品のCD-ROMデバイスエミュレーション機能にヒープオーバーフローの脆弱性

「VMware Workstation」、「VMware Fusion」、「VMware ESXi」などに影響

セキュリティアドバイザリ「VMSA-2022-0001」

 米VMwareは1月4日(現地時間)、セキュリティアドバイザリ「VMSA-2022-0001」を公開した。同社の仮想化製品「VMware Fusion」、「VMware Workstation」、「VMware ESXi」、「VMware Cloud Foundation」に脆弱性が存在するという。

 同社のアドバイザリによると、VMware製品のCD-ROMデバイスエミュレーション機能にはヒープオーバーフローの脆弱性(CVE-2021-22045)がある。他の脆弱性と組み合わせることで仮想マシンからハイパーバイザー上のコードを実行できる可能性があり、深刻度は「Important」と評価されている。CVS v3のベーススコアは「7.7」。

 この問題が影響する製品と、その対応状況は以下の通り。

  • Workstation 16.x:v16.2.0で解決
  • Fusion 12.x:v12.2.0で解決
  • ESXi 7.0:執筆時現在、パッチは未提供
  • ESXi 6.7:ESXi670-202111101-SGで解決
  • ESXi 6.5:ESXi650-202110101-SGで解決
  • VMware Cloud Foundation (ESXi) 4.0:執筆時現在、パッチは未提供
  • VMware Cloud Foundation (ESXi) 3.0:執筆時現在、パッチは未提供

 アップデートが困難であったり、パッチが未提供の場合は、CD-ROMデバイスエミュレーション機能を無効化・切断することでも対策が可能だ。