ニュース
VMware製品のCD-ROMデバイスエミュレーション機能にヒープオーバーフローの脆弱性
「VMware Workstation」、「VMware Fusion」、「VMware ESXi」などに影響
2022年1月6日 12:39
米VMwareは1月4日(現地時間)、セキュリティアドバイザリ「VMSA-2022-0001」を公開した。同社の仮想化製品「VMware Fusion」、「VMware Workstation」、「VMware ESXi」、「VMware Cloud Foundation」に脆弱性が存在するという。
同社のアドバイザリによると、VMware製品のCD-ROMデバイスエミュレーション機能にはヒープオーバーフローの脆弱性(CVE-2021-22045)がある。他の脆弱性と組み合わせることで仮想マシンからハイパーバイザー上のコードを実行できる可能性があり、深刻度は「Important」と評価されている。CVS v3のベーススコアは「7.7」。
この問題が影響する製品と、その対応状況は以下の通り。
- Workstation 16.x:v16.2.0で解決
- Fusion 12.x:v12.2.0で解決
- ESXi 7.0:執筆時現在、パッチは未提供
- ESXi 6.7:ESXi670-202111101-SGで解決
- ESXi 6.5:ESXi650-202110101-SGで解決
- VMware Cloud Foundation (ESXi) 4.0:執筆時現在、パッチは未提供
- VMware Cloud Foundation (ESXi) 3.0:執筆時現在、パッチは未提供
アップデートが困難であったり、パッチが未提供の場合は、CD-ROMデバイスエミュレーション機能を無効化・切断することでも対策が可能だ。