vCenterのユーザーが任意のファイルを読み書き、VMware ESX/ESXiに脆弱性パッチ適用や「Add Existing Disk」権限の制限を

米ヴイエムウェアは2013年12月22日、VMware ESX/ESXiに、任意のファイルにアクセスできてしまう脆弱性が存在することを明らかにし、パッチを公開した。

» 2013年12月24日 19時42分 公開
[高橋睦美,@IT]

 米ヴイエムウェアは2013年12月22日、VMware ESX/ESXiに、任意のファイルにアクセスできてしまう脆弱性が存在することを明らかにした。本来ならば権限を持たないVMware vCenter Serverのユーザーが、VMware ESX/ESXiの任意のファイルを読み書きできる恐れがある。

 この脆弱性は、VMware ESX 4.0/4.1、ESXi 4.0〜5.5に存在する。仮想マシンファイル記述子の処理に問題があるため、VMware vCenter Serverで「Add New Disk」もしくは「Add Existing Disk」を実行できる権限を持っているユーザーが、ESXやESXiの任意のファイルを読み書きできてしまう。VMware ESXでは、権限を持たないローカルユーザーが、任意のファイルの読み書き権限を得ることも可能という。

 この脆弱性を悪用し、いくつか特定のファイルに修正を加えることで、ホストをリブートさせ、コードを実行させる恐れもある。ただし、VMware vCloud Directorではこの脆弱性は悪用できないという。

 ヴイエムウェアはこの脆弱性に関するセキュリティアドバイザリとパッチを公開し、適用を呼び掛けている。もし検証作業に時間を要するなどの理由で即時のパッチ適用が困難な場合は、「Add Existing Disk」権限を持つvCenter Serverのユーザーの数を制限することで、ある程度リスクの軽減が可能という。

 この脆弱性はShanon Olsson氏が発見し、JPCERT/CCを通じてヴイエムウェアに報告された。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。