vCenter Serverファイルアップロードの脆弱性(CVE-2021-22005)CVSSv3基本スコア9.8と緊急性が高いので注意が必要です。
情報元はこちら。
アドバイザリID:VMSA-2021-0020.1
CVSSv3範囲:4.3-9.8
発行日:2021-09-21
更新日:2021-09-24
CVE:CVE-2021-21991、CVE-2021-21992、CVE-2021-21993、CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008、CVE-2021-22009、CVE- 2021-22010、CVE-2021-22011、CVE-2021-22012、CVE-2021-22013、CVE-2021-22014、CVE-2021-22015、CVE-2021-22016、CVE-2021-22017、CVE-2021- 22018、CVE-2021-22019、CVE-2021-22020
概要:VMware vCenter Serverのアップデートは、複数のセキュリティの脆弱性に対処します
1.影響を受ける製品
VMware vCenter Server(vCenter Server)
VMware Cloud Foundation(Cloud Foundation)
2.はじめに
VMware vCenter Serverの複数の脆弱性は、VMwareに非公開で報告されました。影響を受けるVMware製品のこれらの脆弱性を修正するためのアップデートが利用可能です。
3a。vCenter Serverファイルアップロードの脆弱性(CVE-2021-22005)
説明
vCenter Serverには、Analyticsサービスに任意のファイルアップロードの脆弱性が含まれています。VMwareは、この問題の 重大度が重大な重大度の範囲にあると評価し、最大CVSSv3基本スコアは9.8です。
既知の攻撃ベクトル
vCenter Serverのポート443へのネットワークアクセスを持つ悪意のある攻撃者は、この問題を悪用して、特別に細工されたファイルをアップロードすることにより、vCenterServerでコードを実行する可能性があります。
解像度
CVE-2021-22005を修正するには、以下の「応答マトリックス」の「修正バージョン」列にリストされている更新を影響を受けるデプロイメントに適用します。
回避策
CVE-2021-22005の回避策は、以下の「応答マトリックス」の「回避策」列に記載されています。
追加のドキュメント
追加の説明のために、補足のブログ投稿が作成されました。参照してください:https://via.vmw.com/vmsa-2021-0020-faq
ノート
VMwareは、CVE-2021-22005が実際に悪用されているという報告を確認しています。
この問題はvCenterServer6.5には影響しません。
3b。vCenter Serverのローカル権限昇格の脆弱性(CVE-2021-21991)
説明
vCenter Serverには、セッショントークンの処理方法が原因で、ローカル権限昇格の脆弱性が含まれています。VMwareは、この問題の重大度が重要な重大度の範囲にあると評価し、最大CVSSv3基本スコアは8.8です。
既知の攻撃ベクトル
vCenter Serverホストで管理者以外のユーザーアクセス権を持つ悪意のある攻撃者がこの問題を悪用して、vSphere Client(HTML5)またはvCenter Server vSphere Web Client(FLEX / Flash)の管理者に権限をエスカレートする可能性があります。
解像度
CVE-2021-21991を修正するには、以下の「応答マトリックス」の「修正バージョン」列にリストされている更新を影響を受けるデプロイメントに適用します。
回避策
なし。
追加のドキュメント
追加の説明のために、補足のブログ投稿が作成されました。参照してください:https://via.vmw.com/vmsa-2021-0020-faq
3c。vCenter Serverリバースプロキシバイパスの脆弱性(CVE-2021-22006)
説明
vCenter Serverには、エンドポイントがURIを処理する方法に起因する、リバースプロキシバイパスの脆弱性が含まれています。VMwareは、この問題の重大度が重要な重大度の範囲にあると評価し、最大CVSSv3基本スコアは8.3です。
既知の攻撃ベクトル
vCenter Serverのポート443へのネットワークアクセスを持つ悪意のある攻撃者は、この問題を悪用して制限されたエンドポイントにアクセスする可能性があります。
解像度
CVE-2021-22006を修正するには、以下の「応答マトリックス」の「修正バージョン」列にリストされている更新を影響を受けるデプロイメントに適用します。
回避策
なし。
追加のドキュメント
追加の説明のために、補足のブログ投稿が作成されました。参照してください:https://via.vmw.com/vmsa-2021-0020-faq
ノート
この問題はvCenterServer6.5には影響しません。
3D。vCenterサーバーの認証されていないAPIエンドポイントの脆弱性(CVE-2021-22011)
説明
vCenter Serverには、vCenterServerコンテンツライブラリに認証されていないAPIエンドポイントの脆弱性が含まれています。VMwareは、この問題の重大度が重要な重大度の範囲にあると評価し、最大CVSSv3基本スコアは8.1です。
既知の攻撃ベクトル
vCenter Serverのポート443へのネットワークアクセスを持つ悪意のある攻撃者は、この問題を悪用して、認証されていないVMネットワーク設定操作を実行する可能性があります。
解像度
CVE-2021-22011を修正するには、以下の「応答マトリックス」の「修正バージョン」列にリストされている更新を影響を受けるデプロイメントに適用します。
回避策
なし。
追加のドキュメント
追加の説明のために、補足のブログ投稿が作成されました。参照してください:https://via.vmw.com/vmsa-2021-0020-faq
3e。vCenter Serverの不適切なアクセス許可ローカル権限昇格の脆弱性(CVE-2021-22015)
説明
vCenter Serverには、ファイルとディレクトリの不適切なアクセス許可による複数のローカル権限昇格の脆弱性が含まれています。VMwareは、これらの問題の重大度が重要な重大度の範囲にあると評価し、最大CVSSv3基本スコアは7.8です。
既知の攻撃ベクトル
管理者以外の権限を持つ認証済みのローカルユーザーは、これらの問題を悪用して、vCenter ServerApplianceのrootに権限を昇格させる可能性があります。
解像度
CVE-2021-22015を修正するには、以下の「応答マトリックス」の「修正バージョン」列にリストされている更新を影響を受けるデプロイメントに適用します。
回避策
なし。
追加のドキュメント
追加の説明のために、補足のブログ投稿が作成されました。参照してください:https://via.vmw.com/vmsa-2021-0020-faq
~
他にも多数書かれていますので、直ちに対応したほうがいいですね。