Critical

VMSA-2021-0007
9.8
2021-05-05
2021-05-05 (最初のアドバイザリ)
CVE-2021-21984
VMware vRealize Business for Cloud の更新は、リモート コード実行の脆弱性 (CVE-2021-21984) に対処します
1. 影響を受ける製品
  • VMware vRealize Business for Cloud
2. はじめに

VMware vRealize Business for Cloud のリモート コード実行の脆弱性が、非公開で VMware に報告されました。影響を受ける VMware 製品でこの脆弱性を修正するための更新を利用できます。

3a. VMware vRealize Business for Cloud の更新は、リモート コード実行の脆弱性 (CVE-2021-21984) に対処します

説明

エンド ポイントが認証されていないため、リモート コード実行の脆弱性が VMware vRealize Business for Cloud に含まれています。VMware では、この問題の深刻度について、CVSS v3 での基本値が最大で 9.8 になるため、「重大 (Critical)」の範囲にあると評価しました。

既知の攻撃ベクトル

ネットワーク経由でアクセスできる悪意のあるアクターがこの問題を悪用して、vRealize Business for Cloud 仮想アプライアンスで認証されていないリモート コードを実行できる可能性があります。

解決方法

CVE-2021-21984 を修正するには、以下の「対策マトリックス」の「修正されたバージョン」列に記載されているパッチを適用します。

回避策

なし

追加のドキュメント

ナレッジベースの記事が作成されました。これは、以下の「対策マトリックス」の「追加のドキュメント」列に記載されています。

メモ

なし

謝辞

VMware は、この脆弱性を報告していただいた Positive Technologies 社の Egor Dimitrenko 氏に心より御礼申し上げます。

対策マトリックス

製品 バージョン 実行環境 CVE 識別番号 CVSS v3 Severity 修正されたバージョン 回避策 追加のドキュメント
VMware vRealize Business for Cloud
7.6
任意
CVE-2021-21984
critical
なし
4. リファレンス

修正と回避策:

VMware vRealize Business for Cloud
7.6.0:https://kb.vmware.com/s/article/83475

 

Mitre CVE 辞書へのリンク:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21984

 

FIRST が提供する CVSS v3 計算ツール:
CVE-2021-21984:https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

5. 変更ログ

2021-05-05 VMSA-2021-0007
最初のセキュリティ アドバイザリ。

6. 連絡先

製品のセキュリティに関する通知およびお知らせの E メール リスト:

https://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce 

 

このセキュリティ アドバイザリは、次のリストに掲載されています。  

security-announce@lists.vmware.com  

bugtraq@securityfocus.com  

fulldisclosure@seclists.org 

 

E メール:security@vmware.com

PGP キー:

https://kb.vmware.com/kb/1055 

 

VMware セキュリティ アドバイザリ

https://www.vmware.com/jp/security/advisories 

 

VMware セキュリティ対策ポリシー

https://www.vmware.com/jp/support/policies/security_response.html 

 

VMware のライフサイクル サポート フェーズ

https://www.vmware.com/jp/support/policies/lifecycle.html 

 

VMware セキュリティ & コンプライアンスに関するブログ  

https://blogs.vmware.com/security 

 

Twitter

https://twitter.com/VMwareSRC

 

Copyright 2020 VMware Inc. All rights reserved.