米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は4月7日(米国時間)、「VMware Releases Security Updates|CISA」において、VMwareの複数の製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
- VMSA-2022-0011 - VMware Workspace ONE Access, Identity Manager and vRealize Automation updates address multiple vulnerabilities
- VMSA-2022-0012 - VMware Horizon Client for Linux update addresses multiple vulnerabilities (CVE-2022-22962, CVE-2022-22964)
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Access version 20.10.0.0
- Access version 20.10.0.1
- Access version 21.08.0.0
- Access version 21.08.0.1
- Horizon Client for Linux version 21.x
- vIDM version 3.3.3
- vIDM version 3.3.4
- vIDM version 3.3.5
- vIDM version 3.3.6
- VMware Cloud Foundation (vIDM) version 4.x
- VMware Cloud Foundation (vRA) version 3.x
- vRealize Automation (vIDM) [2] version 7.6
- vRealize Suite Lifecycle Manager (vIDM) version 8.x
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Access version 20.10.0.0 - KB88099
- Access version 20.10.0.1 - KB88099
- Access version 21.08.0.0 - KB88099
- Access version 21.08.0.1 - KB88099
- Horizon Client for Linux version 21.x - 2203
- vIDM version 3.3.3 - KB88099
- vIDM version 3.3.4 - KB88099
- vIDM version 3.3.5 - KB88099
- vIDM version 3.3.6 - KB88099
- VMware Cloud Foundation (vIDM) version 4.x - KB88099
- VMware Cloud Foundation (vRA) version 3.x - KB88099
- vRealize Automation (vIDM) [2] version 7.6 - KB88099
- vRealize Suite Lifecycle Manager (vIDM) version 8.x - KB88099
一部の脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。