United States Computer Emergency Readiness Team (US-CERT)は2月15日(米国時間)、「VMware Releases Security Updates|US-CERT」において、複数のVMwareプロダクトに脆弱性が存在すると伝えた。

この脆弱性は、2019年2月12日に公開されたコンテナ・ランタイム「runc」に関わるもの。を悪用されると、この脆弱性を悪用して細工したコンテナを実行した場合、ホスト上の runc バイナリが意図せず上書きされ、その結果コンテナが起動しているホスト上で root 権限でコマンドが実行される恐れがある。

影響を受けると見られるプロダクトは次のとおり。

  • VMware Integrated OpenStack with Kubernetes (VIO-K)
  • VMware PKS (PKS)
  • VMware vCloud Director Container Service Extension (CSE)
  • vSphere Integrated Containers (VIC)

脆弱性に関する情報は次のページにまとまっている。

  • VMware Security Advisories -VMSA-2019-0001.1 - VMware product updates resolve mishandled file descriptor vulnerability in runc container runtime

    VMware Security Advisories -VMSA-2019-0001.1 - VMware product updates resolve mishandled file descriptor vulnerability in runc container runtime

Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。セキュリティ脆弱性の深刻度はどのプロダクトも重要(Important)と位置づけられている。