VMware vCenter Server IWA特権昇格の脆弱性 CVE-2021-22048 CVSSv3スコア7.1なのでそこそこ高いので、早めに対応したほうがいいかもしれません。
「統合Windows認証(IWA)」に関する権限昇格の脆弱性で、非公開で報告された脆弱性とのことです。
情報元はこちら
https://www.vmware.com/security/advisories/VMSA-2021-0025.html
アドバイザリID:
VMSA-2021-0025
CVSSv3範囲:
7.1
発行日:
2021-11-10
更新日:
2021-11-10(初期アドバイザリ)
CVE:
CVE-2021-22048
あらすじ:
VMware vCenter Serverのアップデートは、特権昇格の脆弱性に対処します(CVE-2021-22048)
1.影響を受ける製品
VMware vCenter Server(vCenter Server)
VMware Cloud Foundation(Cloud Foundation)
2.はじめに
VMware Center Serverの特権昇格の脆弱性は、VMwareに非公開で報告されました。影響を受けるVMware製品のこの脆弱性を修正するための回避策があります。
3. VMware vCenter Server IWA特権昇格の脆弱性(CVE-2021-22048)
説明
vCenter Serverには、IWA(統合Windows認証)認証メカニズムに特権昇格の脆弱性が含まれています。VMwareは、この問題の重大度が重要な重大度の範囲にあると評価し、最大CVSSv3基本スコアは7.1です。
既知の攻撃ベクトル
vCenter Serverへの非管理アクセス権を持つ悪意のある攻撃者は、この問題を悪用して、特権をより高い特権グループに昇格させる可能性があります。
解像度
なし。
回避策
CVE-2021-22048の回避策は、「応答」の「回避策」列にリストされているKBに記載されているように、統合Windows認証(IWA)からAD FS(vSphere 7.0のみ)のLDAPS認証/ IDプロバイダーフェデレーションを介してADに切り替えることです。以下のマトリックス。
追加のドキュメント
なし。
vCenter Server7.0, 6.7が影響を受けます。Cloud Foundation(vCenter Server)3.x, 4.xも影響を受けます。
パッチは保留中の為、現時点では、回避策で対策となります。
できるExcel マクロ&VBA 作業の効率化&スピードアップに役立つ本 2016/2013/2010/2007対応 できるシリーズ |