Critical

VMSA-2021-0005
9.1
2021-04-01
2021-04-01 (最初のアドバイザリ)
CVE-2021-21982
VMware Carbon Black Cloud Workload Appliance の更新は、不正確な URL 処理の脆弱性 (CVE-2021-21982) に対処します
1. 影響を受ける製品
  • VMware Carbon Black Cloud Workload Appliance。
2. はじめに

VMware Carbon Black Cloud Workload Appliance の脆弱性が、非公開で VMware に報告されました。影響を受けるアプライアンスのバージョンでこの脆弱性を修正するための更新を利用できます。

3. アドバイザリの詳細

説明

VMware Carbon Black Cloud Workload Appliance の管理インターフェイスの URL を操作して、認証をバイパスできます。VMware では、この問題の深刻度について、CVSS v3 での基本値が最大で 9.1 になるため、「重大 (Critical)」の範囲にあると評価しました。

既知の攻撃ベクトル

VMware Carbon Black Cloud Workload Appliance の管理インターフェイスにネットワーク経由でアクセスできる悪意のあるアクターは、アプライアンスの管理 API へのアクセスを許可する有効な認証トークンを取得できる可能性があります。攻撃者はこの問題を悪用して、管理設定を表示および変更できるようになる可能性があります。

解決方法

CVE-2021-21982 を修正するには、以下の「対策マトリックス」の「修正されたバージョン」列に記載されている更新を、影響を受ける展開に対して適用します。

回避策

なし。

低減策

VMware ではベスト プラクティスとして、ネットワーク制御を実装し、アプライアンスのローカル管理インターフェイスへのアクセスを制限することを推奨します。このインターフェイスへの無制限のネットワーク アクセスは、製品の通常の操作には必要ありません。

追加のドキュメント

なし。

メモ

なし。

謝辞

VMware は、この脆弱性を報告していただいた Positive Technologies 社の Egor Dimitrenko 氏に心より御礼申し上げます。

対策マトリックス

製品 バージョン 実行環境 CVE 識別番号 CVSS v3 深刻度 修正されたバージョン 回避策 追加のドキュメント
VMware Carbon Black Cloud Workload Appliance
1.0.1 およびそれ以前
Linux
CVE-2021-21982
Critical
1.0.2
なし
なし
4. リファレンス
5. 変更ログ

2021-04-01 VMSA-2021-0005
最初のセキュリティ アドバイザリ。

6. 連絡先

製品のセキュリティに関する通知およびお知らせの E メール リスト:

https://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce 

 

このセキュリティ アドバイザリは、次のリストに掲載されています。  

security-announce@lists.vmware.com

 

E メール:security@vmware.com

PGP キー:

https://kb.vmware.com/kb/1055 

 

VMware セキュリティ アドバイザリ

https://www.vmware.com/jp/security/advisories 

 

VMware セキュリティ対策ポリシー

https://www.vmware.com/jp/support/policies/security_response.html 

 

VMware のライフサイクル サポート フェーズ

https://www.vmware.com/jp/support/policies/lifecycle.html 

 

VMware セキュリティ & コンプライアンスに関するブログ  

https://blogs.vmware.com/security 

 

Twitter

https://twitter.com/VMwareSRC

 

Copyright 2021 VMware Inc. All rights reserved.