United States Computer Emergency Readiness Team (US-CERT)は12月3日(米国時間)、「VMware Releases Security Updates to Address CVE-2020-4006|CISA」において、VMwareがコマンドインジェクションの脆弱性(CVE-2020-4006)を修正するセキュリティパッチの提供を開始したと伝えた。
VMwareの複数のプロダクトにコマンドインジェクションの脆弱性が存在することは公開されていたが、これまで回避策が提示されるのみで、アップデートの提供は行われていなかった。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトは次のとおり。
- VMware Workspace One Access 20.10(Linux版)
- VMware Workspace One Access 20.01(Linux版)
- VMware Identity Manager 3.3.3(Linux版)
- VMware Identity Manager 3.3.2(Linux版)
- VMware Identity Manager 3.3.1(Linux版)
- VMware Identity Manager Connector 3.3.3(Windows版)
- VMware Identity Manager Connector 3.3.2(Windows版)
- VMware Identity Manager Connector 3.3.1(Windows版)
- VMware Identity Manager Connector 19.03.0.1(Windows版)
- VMware Identity Manager Connector 19.03(Windows版)
- VMware Identity Manager Connector (Windows版)
- VMware Identity Manager Connector 3.3.2(Linux版)
- VMware Identity Manager Connector 3.3.1(Linux版)
対象の脆弱性は深刻度が重大(Important)に分類されている。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。