Important

VMSA-2022-0024.1
7.0
2022-08-23
2022-09-02
CVE-2022-31676
VMware Tools の更新は、ローカル権限昇格の脆弱性 (CVE-2022-31676) に対処します
1. 影響を受ける製品
  • VMware Tools
2. はじめに

VMware Tools はローカル権限昇格の脆弱性の影響を受けました。影響を受ける VMware 製品でこの脆弱性を修正するための更新を利用できます。

3. ローカル権限昇格の脆弱性 (CVE-2022-31676)

説明

VMware Tools には、ローカル権限昇格の脆弱性が含まれています。VMware では、この問題の深刻度について、CVSS v3 での基本値が最大で 7.0 になるため、「高レベル (Important)」の範囲にあると評価しました。

既知の攻撃ベクトル

ゲスト OS への管理者以外のローカル アクセス権を持つ悪意のあるアクターは、仮想マシンの root ユーザーとして権限を昇格させることができます。

解決方法

CVE-2022-31676 を修正するには、以下の「対策マトリックス」の「修正されたバージョン」列に記載されているパッチを適用します。

回避策

なし。

追加のドキュメント

なし。

メモ

  • 2022/08/23:VMware Tools 10.3.25 は、古い Linux リリースにのみ適用されます。
  • 2022/09/02:CVE-2022-31676 に対処する open-vm-tools のバージョンは、Linux ベンダーから配布されます。 
  • 2022/09/02:** - 修正されたバージョンは、Linux ディストリビューションのバージョンと配布ベンダーによって異なる場合があります。

謝辞

なし。

 

対策マトリックス

製品 バージョン 実行環境 CVE 識別番号 CVSS v3 深刻度 修正されたバージョン 回避策 追加のドキュメント
VMware Tools
12.x.y、11.x.y および 10.x.y
Windows
CVE-2022-31676
important
なし
なし
VMware Tools (open-vm-tools)
12.x.y、11.x.y および 10.x.y
Linux
CVE-2022-31676
important
12.1.0**
なし
なし
VMware Tools
10.x.y
Linux
CVE-2022-31676
important
なし
なし
4. リファレンス
5. 変更ログ

2022-08-23:VMSA-2022-0024
最初のセキュリティ アドバイザリ。

2022-09-02 VMSA-2022-0024.1
セキュリティ アドバイザリ対策マトリックスの影響を受ける製品を更新し、open-vm-tools に関するメモを追加しました。

 

6. 連絡先

製品のセキュリティに関する通知およびお知らせの E メール リスト:

https://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce 

 

このセキュリティ アドバイザリは、次のリストに掲載されています。  

security-announce@lists.vmware.com  

bugtraq@securityfocus.com  

fulldisclosure@seclists.org 

 

E メール:security@vmware.com

PGP キー:

https://kb.vmware.com/kb/1055 

 

VMware セキュリティ アドバイザリ

https://www.vmware.com/jp/security/advisories 

 

VMware セキュリティ対策ポリシー

https://www.vmware.com/jp/support/policies/security_response.html 

 

VMware のライフサイクル サポート フェーズ

https://www.vmware.com/jp/support/policies/lifecycle.html 

 

VMware セキュリティ & コンプライアンスに関するブログ  

https://blogs.vmware.com/security 

 

Twitter

https://twitter.com/VMwareSRC

 

Copyright 2022 VMware Inc. All rights reserved.