米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は8月25日(米国時間)、「VMware Releases Security Updates for Multiple Products |CISA」において、VMwareの複数製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。
脆弱性に関する情報は次のページにまとまっている。
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- vRealize Operations Manager 8.4.0
- vRealize Operations Manager 8.3.0
- vRealize Operations Manager 8.2.0
- vRealize Operations Manager 8.1.1
- vRealize Operations Manager 8.1.0
- vRealize Operations Manager 8.0.1
- vRealize Operations Manager 8.0.0
- vRealize Operations Manager 7.5.0
- VMware Cloud Foundation (vROps) 4.x
- VMware Cloud Foundation (vROps) 3.x
- vRealize Suite Lifecycle Manager (vROps) 8.x
脆弱性が修正されたプロダクトおよびバージョンに関する情報は次のページに掲載されている。
- vRealize Operations 8.4 Security Patch for VMSA-2021-0018 (85383)
- vRealize Operations 8.3 Security Patch for VMSA-2021-0018 (85382)
- vRealize Operations 8.2 Security Patch for VMSA-2021-0018 (85381)
- vRealize Operations 8.1.1 Security Patch for VMSA-2021-0018 (85380)
- vRealize Operations 8.0.1 Security Patch for VMSA-2021-0018 (85379)
- vRealize Operations 7.5 Security Patch for VMSA-2021-0018 (85378)
- vROPs Security Patch for VMSA-2021-0018 in vRLCM (85452)
脆弱性の深刻度は重要(Important)に分類されており注意が必要。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。