VMwareは4月20日(米国時間)、「VMSA-2023-0007 - VMware Aria Operations for Logs (Operations for Logs) update addresses multiple vulnerabilities」において、VMware Aria Operations for Logsに2つの脆弱性が存在すると伝えた。脆弱性の深刻度は緊急(Critial)および重要(Important)とされている。該当する製品を使用している場合にはただちにアップデートを適用することが望まれる。

  • VMSA-2023-0007 - VMware Aria Operations for Logs (Operations for Logs) update addresses multiple vulnerabilities

    VMSA-2023-0007 - VMware Aria Operations for Logs (Operations for Logs) update addresses multiple vulnerabilities

修正対象となっている脆弱性は次のとおり。

  • CVE-2023-20864 - 逆シリアライゼーションの脆弱性。この脆弱性を悪用されるとネットワークアクセス権を持つ認証されていない悪意あるユーザーがroot権限で任意のコードを実行する可能性がある。共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値は9.8で緊急(Critical)の脆弱性と分析されている
  • CVE-2023-20865 - コマンドインジェクションの脆弱性。この脆弱性を悪用されると、root権限で任意のコマンドが実行される可能性がある。共通脆弱性評価システムのスコア値は7.2で重要(Important)と分析されている

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • VMware Aria Operations for Logs (Operations for Logs) バージョン8.6.x
  • VMware Aria Operations for Logs (Operations for Logs) バージョン8.8.x
  • VMware Aria Operations for Logs (Operations for Logs) バージョン8.10
  • VMware Aria Operations for Logs (Operations for Logs) バージョン8.10.2
  • VMware Cloud Foundation (VMware Aria Operations for Logs バージョン4.x

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • VMware Aria Operations for Logs (Operations for Logs) バージョン8.12
  • VMware Cloud Foundation (VMware Aria Operations for Logs) バージョン4.x KB91865

一時的に問題を回避する方法はないとされている。すでに修正したバージョンが公開されていることから、該当する製品を使用している場合には修正されたバージョンへアップデートすることが望まれる。