VMware は、主力製品である vSphere ハイブリッド クラウド スイートの HTML5 クライアントに重大なバグがあることを明らかにしました。
VMwareの通知には、「vSphere Client (HTML5) の vCenter Server プラグインにリモートコード実行の脆弱性が存在します」と記載されています。「ポート443へのネットワークアクセスを持つ悪意のある攻撃者がこの問題を悪用し、vCenter Server をホストするオペレーティングシステム上で無制限の権限でコマンドを実行する可能性があります。」
vCenter Server は仮想サーバーのフリートを駆動するツールであるため、この CVSS 9.8 評価のバグ (CVE-2021-21972) は厄介です。
vSphere 7.0 U1c、6.7 U3l、および6.5 U3nより前のバージョンには、こちらに記載されている修正が必要です。これらのリリースはすべて数週間以上前のリリースであるため、ユーザーは既にこの問題に対処している可能性があります。Cloud Foundation 3.xおよび4.xのユーザーも、早急にパッチを適用する必要があります。
その厄介な問題にパッチを当てるついでに、VMware によると「ポート 443 へのネットワーク アクセス権を持つ悪意のある攻撃者」が「vCenter Server プラグインに POST リクエストを送信してこの問題を悪用し、情報漏洩を引き起こす」可能性があるという 2 番目の HTML クライアント バグ (CVE-2021-21973) も修正したほうがよいでしょう。
上で説明した vSphere および Cloud Foundation の同じバージョンを修正する必要があります。詳細とダウンロードについては、こちらをご覧ください。
それが解決しても仕事は終わりません。VMware は ESXi ハイパーバイザーの 8.8 評価の欠陥 (CVE-2021-21974) も修正しており、「ESXi と同じネットワーク セグメント内に常駐し、ポート 427 にアクセスできる悪意のある攻撃者が、OpenSLP サービスのヒープ オーバーフローの問題を引き起こし、リモート コード実行を引き起こす可能性がある」からです。
死にゆくソフトウェアはVMwareのvSphereクライアントに変更を強いる
続きを読む
OpenSLPはIETFサービスロケーションプロトコルのオープンソース版です。この小さな問題の修正方法の詳細は、こちらで確認できます。vSphere 6.5以降、またはCloud Foundation 3以降をご利用の場合は、ご注意ください。VMwareは最近、vSphereセキュリティに関するガイダンスを更新し、使用していないOpenSLPを無効にすることを推奨しました。しかし、このガイダンスが公開されたのはわずか2週間前のことです。
VMware は、vSphere クライアントのバグについては Positive Technologies の Mikhail Klyuchnikov 氏、OpenSLP のバグについては Trend Micro の Zero Day Initiative の Lucas Leong 氏に感謝の意を表した。
VMwareのHTML5クライアントは、Adobeのバグだらけの混乱が死に瀕していることをVirtzillaが認識していたため、Flashベースのツールに取って代わりました。HTML5クライアントは数年かけて徐々に姿を消し、最初のリリースから2年以上経ってようやく機能面での同等性を実現しました。
今日のバグによって、vAdmins が Flash の古き良き時代を懐かしむことはないでしょうが、ESXi の新しい UI が開発中であるため、引き続き注意を払う必要があります。®
