VMware は、さまざまな製品のいくつかの重大な脆弱性に対するいくつかの更新をリリースします。 一部の製品では、攻撃者がパスワードなしで製品への管理アクセスを取得することさえ可能です。 VMware ユーザーは迅速に行動し、パッチを適用してギャップを埋める必要があります。
VMware によると、次の製品がギャップの影響を受け、パッチが利用可能です: Workspace ONE Access、Workspace、ONE Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation、Cloud Foundation、および vRealize Suite Lifecycle Manager。 VMware アドバイザリ VMSA-2022-0021 には、個々のギャップとそれらに対する推奨される対策がリストされています。
VMware VMSA-2022-0021 で問題が説明されています
これらの脆弱性は、認証バイパス、リモート コード実行、および権限昇格の脆弱性です。 認証バイパスとは、Workspace ONE Access、VMware Identity Manager、および vRealize Automation へのネットワーク アクセスを持つ攻撃者が管理アクセスを取得できることを意味します。 リモート コード実行 (RCE) とは、攻撃者がコンポーネントに不正なコマンドを実行させることができることを意味します。 権限昇格は、ローカル アクセスを持つ攻撃者が仮想アプライアンスのルートになる可能性があることを意味します。 オンプレミス展開でこれらの問題にパッチを適用または軽減するための迅速な手順を実行することが非常に重要です。 組織が変更管理に ITIL メソッドを使用している場合、これは「緊急」変更と見なされます。 パッチと回避策に関する情報は、VMware セキュリティ アドバイザリに記載されています。.
また、VMSA-2022-0014 にパッチを適用した人は、VMSA-2022-002 にパッチを適用する必要があります
すぐに疑問が生じました: 以前のパッチ VMSA-2022-0014 を完了したユーザーは、新しいパッチもすぐにインストールしますか? VMware は、ここで圧倒的な「はい」を示します。 VMSA-2022-0021 は、影響を受けるすべてのソフトウェア コンポーネントに新しい脆弱性をパッチするためです。
VMSA-2022-0014 (11) にまだパッチを適用していない場合は、VMSA-2022-0021 のみを実行する必要があります
エンタープライズ管理者が以前のパッチ (VMSA-2022-0014 および VMSA-2022-0011) をまだ適用していない場合は、スキップして VMSA-2022-0021 のパッチに進むことができます。 パッケージは以前のバグをチェックし、同時にパッチを適用します。
詳しくは VMware.com をご覧ください
ヴイエムウェアについて VMware は、エンタープライズ ソフトウェアで世界のデジタル インフラストラクチャを推進しています。 クラウド、モビリティ、ネットワーク、およびセキュリティの分野における同社のソリューションは、世界中の 500.000 を超える企業顧客に、ビジネスの成功のためのダイナミックで効率的なデジタル基盤を提供しています。 これらは、約 75.000 のパートナーで構成される世界規模の VMware パートナー ネットワークによってサポートされています。 カリフォルニア州パロアルトに本拠を置く同社は、20 年以上にわたり、技術革新を企業と社会の両方に適用してきました。 VMware のドイツ オフィスはミュンヘンにあります。 詳細については、www.vmware.com/en にアクセスしてください。 VMware および Carbon Black は、VMware, Inc. またはその子会社の米国およびその他の国における登録商標および商標です。