Important

VMSA-2020-0010
8.8
2020-05-19
2020-05-19 (最初のアドバイザリ)
CVE-2020-3956
VMware Cloud Director の更新は、コード インジェクションの脆弱性 (CVE-2020-3956) に対処します
1. 影響を受ける製品

VMware Cloud Director(旧 vCloud Director)

2. はじめに

VMware Cloud Director のコード インジェクションの脆弱性が、非公開で VMware に報告されました。影響を受ける VMware 製品でこの脆弱性を修正または回避するためのパッチおよび回避策を利用できます。

3a. アドバイザリの詳細

説明

VMware Cloud Director は入力を適切に処理しないため、コード インジェクションの脆弱性が発生します。VMware では、この問題の深刻度について、CVSS v3 での基本値が最大で 8.8 になるため、「高レベル (Important)」の範囲にあると評価しました。

既知の攻撃ベクトル

認証済みアクターは悪意のあるトラフィックを VMware Cloud Director に送信することができ、任意のリモート コードが実行される可能性があります。この脆弱性は、HTML5 および Flex ベースのユーザー インターフェイス、API Explorer インターフェイス、および API アクセスを介して悪用される可能性があります。

解決方法

CVE-2020-3956 を修正するには、以下の「対策マトリックス」の「修正されたバージョン」列に記載されているパッチを適用します。

回避策

CVE-2020-3956 の回避策は、以下の「対策マトリックス」の「回避策」列に記載されている VMware ナレッジベースの記事に記載されています。

追加のドキュメント

なし。

メモ

なし。

謝辞

VMware は、この脆弱性を報告していただいた Citadelo 社の Tomáš Melicher 氏および Lukáš Václavík 氏に心より御礼申し上げます。

対策マトリックス

製品 バージョン 実行環境 CVE 識別番号 CVSS v3 深刻度 修正されたバージョン 回避策 追加のドキュメント
VMware Cloud Director
10.1.0
Linux、PhotonOS アプライアンス
CVE-2020-3956
N/A
N/A
影響なし
N/A
N/A
VMware Cloud Director
10.0.x
Linux、PhotonOS アプライアンス
CVE-2020-3956
なし
VMware Cloud Director
9.7.x
Linux、PhotonOS アプライアンス
CVE-2020-3956
なし
VMware Cloud Director
9.5.x
Linux、PhotonOS アプライアンス
CVE-2020-3956
9.5.0.6
なし
VMware Cloud Director
9.1.x
Linux
CVE-2020-3956
9.1.0.4
なし
VMware Cloud Director
9.0.x
Linux
CVE-2020-3956
N/A
N/A
影響なし
N/A
N/A
VMware Cloud Director
8.x
Linux
CVE-2020-3956
N/A
N/A
影響なし
N/A
N/A
4. リファレンス
5. 変更ログ

2020-05-19 VMSA-2020-0010

最初のセキュリティ アドバイザリ。

6. 連絡先

製品のセキュリティに関する通知およびお知らせの E メール リスト:
https://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce
 
このセキュリティ アドバイザリは、次のリストに掲載されています。
  security-announce@lists.vmware.com
  bugtraq@securityfocus.com
  fulldisclosure@seclists.org
 
E メール:security@vmware.com
PGP キー:
https://kb.vmware.com/kb/1055
 
VMware セキュリティ アドバイザリ
https://www.vmware.com/jp/security/advisories.html
 
VMware セキュリティ対策ポリシー
https://www.vmware.com/jp/support/policies/security_response.html
 
VMware のライフサイクル サポート フェーズ
https://www.vmware.com/jp/support/policies/lifecycle.html
 
VMware セキュリティ & コンプライアンスに関するブログ
https://blogs.vmware.com/security
 
Twitter
https://twitter.com/VMwareSRC
 
Copyright 2020 VMware Inc. All rights reserved.