VMware ESXiおよびその他製品で、CD-ROMデバイスエミュレーション ヒープオーバーフローの脆弱性 CVE-2021-22045があるそうで、わりとスコアが高いので要注意です。
情報元はこちら
アドバイザリID:VMSA-2022-0001
CVSSv3範囲:.7
発行日:2022-01-04
更新日:2022-01-04(初期アドバイザリ)
CVE(s):CVE-2021-22045
あらすじ:VMware Workstation、Fusion、およびESXiのアップデートは、ヒープオーバーフローの脆弱性に対処します(CVE-2021-22045)
1.影響を受ける製品
VMware ESXi
VMwareワークステーション
VMware Fusion
VMware Cloud Foundation
2.はじめに
VMware Workstation、Fusion、ESXiのヒープオーバーフローの脆弱性がVMwareに非公開で報告されました。影響を受けるVMware製品のこの脆弱性を修正するためのアップデートが利用可能です。
3. VMware Workstation、Fusion、およびESXiのアップデートは、ヒープオーバーフローの脆弱性に対処します(CVE-2021-22045)
説明
VMware Workstation、Fusion、ESXiのCD-ROMデバイスエミュレーションには、ヒープオーバーフローの脆弱性があります。VMwareは、この問題の重大度が 重要な重大度の範囲にある と評価し、最大CVSSv3基本スコアは 7.7です。
既知の攻撃ベクトル
CD-ROMデバイスエミュレーションを使用して仮想マシンにアクセスできる悪意のある攻撃者は、この脆弱性を他の問題と組み合わせて悪用し、仮想マシンからハイパーバイザーでコードを実行できる可能性があります。
解決
CVE-2021-22045を修正するには、以下の「応答マトリックス」の「修正バージョン」列にリストされているパッチを適用します。
回避策
CVE-2021-22045の回避策は、以下の「応答マトリックス」の「回避策」列にリストされています。
追加のドキュメント
なし。
ノート
悪用を成功させるには、CDイメージを仮想マシンに接続する必要があります。
謝辞
VMwareは、この脆弱性を報告してくれたTrend Micro Zero DayInitiativeと協力しているClarifiedSecurityのJaanusK \ xc3 \ xa4 \ xc3 \ xa4pに感謝します。
保留中のものもありますが、すでにパッチが公開されているものもあるので、なるべく早めにパッチ適用したほうがいいでしょうね。
 |
