ニュース
VMware製品に致命的な脆弱性 ~「ESXi」「Workstation」「Fusion」に影響
対策版への更新を
2022年2月21日 09:56
米VMwareは2月15日(現地時間)、セキュリティアドバイザリ「VMSA-2022-0004」を公開した。同社の仮想化製品「ESXi」、「Workstation」および「Fusion」に複数の脆弱性が存在するという。
同社のアドバイザリで発表された脆弱性は、以下の5件(括弧内は深刻度とCVSS v3のベーススコア)。個々の脆弱性は深刻度が「Important」「Moderate」と評価されているが、問題を組み合わせることで重大な影響を及ぼす恐れがあるとして、全体の深刻度評価は「Critical」とされている。
- CVE-2021-22040:XHCI USB controllerにおける解放後メモリ利用(use-after-free)の問題(Important/8.4)
- CVE-2021-22041:XHCI USB controllerにおけるダブルフェッチの問題(Important/8.4)
- CVE-2021-22042:ESXi設定ファイルへの不正アクセス(Important/8.2)
- CVE-2021-22043:ESXiの一時ファイルを処理する方法にTOCTOU(Time-of-check-Time-of-use)の脆弱性(Important/8.2)
- CVE-2021-22050:rhttpproxyのHTTP POST処理が低速で、ESXiがサービス拒否状態に陥る問題(Moderate/5.3)
「Workstation」および「Fusion」に影響があるのはXHCI USB controllerの問題(CVE-2021-22040、CVE-2021-2201)のみ。最悪の場合、仮想マシンのローカル管理者権限を持つユーザーが、ホスト上で実行されている仮想マシンのVMXプロセスとしてコードを実行できてしまう可能性がある。「Workstation」はv16.2.1へ、「Fusion」v12.2.1へのアップデートが必要だ。
「VMware Workstation」は、1台のPC上で複数のOSを仮想マシン(VM)として実行できるツール。対応OSはWindows/Linuxで、動作には64bit版のCPUとOSが必要。「Player」と「Pro」がラインナップされており、「Player」は個人利用および非商用に限り無償で利用できる。「Player」の商用ライセンスは17,985円、「Pro」のライセンスは24,035円。執筆時現在の最新版は、今年1月にリリースされたv16.2.2。