Critical

VMSA-2022-0014.1
7.8 - 9.8
2022-05-18
2022-05-27
CVE-2022-22972、CVE-2022-22973
VMware Workspace ONE Access、Identity Manager、および vRealize Automation の更新は、複数の脆弱性に対処します。
1.影響を受ける製品
  • VMware Workspace ONE Access (Access)
  • VMware Identity Manager (vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager
2.はじめに

複数の脆弱性が非公開で VMware に報告されました。影響を受ける VMware 製品でこれらの脆弱性を修正するためのパッチを利用できます。

3a. 認証バイパスの脆弱性 (CVE-2022-22972)

説明

VMware Workspace ONE Access、Identity Manager、vRealize Automation には、ローカル ドメイン ユーザーに影響する認証バイパスの脆弱性が含まれています。VMware では、この問題の深刻度について、CVSS v3 での基本値が最大で 9.8 になるため、「重大(critical)」の範囲にあると評価しました。

既知の攻撃ベクトル

ユーザー インターフェイスにネットワーク経由でアクセスできる悪意のあるアクターは、認証なしで管理アクセスを取得することができます。

解決方法

CVE-2022-22972 を修正するには、以下の「解決方法マトリックス」の「修正されたバージョン」列に記載されているパッチを適用します。

回避策

CVE-2022-22972 の回避策は、以下の「対策マトリックス」の「回避策」列に記載されている VMware ナレッジベースの記事に記載されています。

追加のドキュメント

より明確な情報を提供するため、補足説明を含むブログ投稿が作成されました。以下を参照してください。https://via.vmw.com/vmsa-2022-0014-qna

メモ

05/26:VMware は、影響を受ける製品で CVE-2022-22972 を悪用する可能性のある悪意のあるコードが一般公開されていることを確認しました。

謝辞

VMware は、この脆弱性を報告していただいた Innotec Security 社の Bruno López 氏に心より御礼申し上げます。

3b. ローカル権限昇格の脆弱性 (CVE-2022-22973)

説明

VMware Workspace ONE Access と Identity Manager には権限昇格の脆弱性が含まれています。VMware では、この問題の深刻度について、CVSS v3 での基本値が最大で7.8 になるため、「高レベル (Important)」の範囲にあると評価しました。

既知の攻撃ベクトル

ローカル アクセス権を持つ悪意のあるアクターは、権限を「root」に昇格させることができます。 

解決方法

CVE-2022-22973 を修正するには、以下の「解決方法マトリックス」の「修正されたバージョン」列に記載されているパッチを適用します。

回避策

なし。

追加のドキュメント

より明確な情報を提供するため、補足説明を含むブログ投稿が作成されました。以下を参照してください。https://via.vmw.com/vmsa-2022-0014-qna

メモ

なし。

謝辞

VMware は、この脆弱性を報告していただいた Kai Zhao 氏 (ToTU Security Team)、および Steven Yu 氏に心より御礼申し上げます。

対策マトリックス

製品 バージョン 実行環境 CVE 識別番号 CVSS v3 Severity 修正されたバージョン 回避策 追加のドキュメント
アクセス
21.08.0.1、21.08.0.0
Linux
CVE-2022-22972
9.8
critical
アクセス
21.08.0.1、21.08.0.0
Linux
CVE-2022-22973
7.8
important
なし
アクセス
20.10.0.1、20.10.0.0
Linux
CVE-2022-22972
9.8
critical
アクセス
20.10.0.1、20.10.0.0
Linux
CVE-2022-22973
7.8
important
なし
vIDM
3.3.6、3.3.5、3.3.4、3.3.3
Linux
CVE-2022-22972
9.8
critical
vIDM
3.3.6、3.3.5、3.3.4、3.3.3
Linux
CVE-2022-22973
7.8
important
なし
vRealize Automation [1]
8.x
Linux
CVE-2022-22972、CVE-2022-22973
N/A
N/A
影響なし
N/A
N/A
vRealize Automation (vIDM) [2]
7.6
Linux
CVE-2022-22972
9.8
critical
vRealize Automation (vIDM)
7.6
Linux
CVE-2022-22973
N/A
N/A
影響なし
N/A
N/A

[1] vRealize Automation 8.x は組み込みの vIDM を使用していないため、影響を受けません。vIDM が vRA 8.x に展開されている場合は、修正を vIDM に直接適用する必要があります。
[2] vRealize Automation 7.6 は組み込みの vIDM を使用しているため、影響を受けます。

対策マトリックスのコンポーネントを展開する影響を受ける製品スイート:

製品 バージョン 実行環境 CVE 識別番号 CVSS v3 Severity 修正されたバージョン 回避策 追加のドキュメント
VMware Cloud Foundation (vIDM)
4.4、4.3.x、4.2.x、4.1、4.0.x
任意
CVE-2022-22972
9.8
critical
VMware Cloud Foundation (vIDM)
4.4、4.3.x、4.2.x、4.1、4.0.x
任意
CVE-2022-22973
7.8
important
なし
VMware Cloud Foundation (vRA)
3.x
任意
CVE-2022-22972
9.8
critical
vRealize Suite Lifecycle Manager (vIDM)
8.x
任意
CVE-2022-22972
9.8
critical
vRealize Suite Lifecycle Manager (vIDM)
8.x
任意
CVE-2022-22973
7.8
important
なし
4.リファレンス
5.変更ログ

2022-05-18: VMSA-2022-0014
最初のセキュリティ アドバイザリ。

2022-05-27: VMSA-2022-0014.1
05/26: VMware は、影響を受ける製品で CVE-2022-22972 を悪用する可能性のある悪意のあるコードが一般公開されていることを確認した、という情報を追加してアドバイザリを更新しました。

6.連絡先

製品のセキュリティに関する通知およびお知らせの E メール リスト:

https://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce 

 

このセキュリティ アドバイザリは、次のリストに掲載されています。  

security-announce@lists.vmware.com  

bugtraq@securityfocus.com  

fulldisclosure@seclists.org 

 

E メール:security@vmware.com

PGP キー:

https://kb.vmware.com/kb/1055 

 

VMware セキュリティ アドバイザリ

https://www.vmware.com/jp/security/advisories 

 

VMware セキュリティ対策ポリシー

https://www.vmware.com/jp/support/policies/security_response.html 

 

VMware のライフサイクル サポート フェーズ

https://www.vmware.com/jp/support/policies/lifecycle.html 

 

VMware セキュリティ & コンプライアンスに関するブログ  

https://blogs.vmware.com/security 

 

Twitter

https://twitter.com/VMwareSRC

 

Copyright 2022 VMware Inc. All rights reserved.