Critical

VMSA-2023-0007.1
7.2-9.8
2023-04-20
2023-07-10
CVE-2023-20864、CVE-2023-20865
VMware Aria Operations for Logs (Operations for Logs) の更新は、複数の脆弱性に対処します。(CVE-2023-20864、CVE-2023-20865)
1. 影響を受ける製品

VMware Aria Operations for Logs(旧名 vRealize Log Insight)

2. はじめに

VMware Aria Operations for Logs の複数の脆弱性が、非公開で VMware に報告されました。影響を受ける VMware 製品でこれらの脆弱性に対処するための更新および回避策を利用できます。

3a. VMware Aria Operations for Logs の逆シリアル化の脆弱性 (CVE-2023-20864)

説明

VMware Aria Operations for Logs には、逆シリアル化の脆弱性が含まれています。VMware では、この問題の深刻度について、CVSS v3 での基本値が最大で 9.8 になるため、「重大 (Critical)」の範囲にあると評価しました。

既知の攻撃ベクトル

VMware Aria Operations for Logs にネットワーク経由でアクセスできる、認証されていない悪意のあるアクターが、root として任意のコードを実行できる可能性があります。

解決方法

CVE-2023-20864 を修正するには、以下の「対策マトリックス」の「修正されたバージョン」列に記載されている更新を適用します。

回避策

なし。

追加のドキュメント

なし。

メモ

VMware は、CVE-2023-20864 のエクスプロイト コードが公開されていることを確認しました。

謝辞

VMware は、この脆弱性を報告していただいた Trend Micro の Zero Day Initiative の協力者である匿名の方に心より御礼申し上げます。

3b. VMware Aria Operations for Logs のコマンド インジェクションの脆弱性 (CVE-2023-20865)

説明

VMware Aria Operations for Logs には、コマンド インジェクションの脆弱性が含まれています。VMware では、この問題の深刻度について、 CVSS v3 での基本値が最大で 7.2 になるため、「高レベル (Important)」の範囲にあると評価しました

既知の攻撃ベクトル

VMware Aria Operations for Logs の管理者権限を持つ悪意のあるアクターが、root として任意のコードを実行できる可能性があります。

解決方法

CVE-2023-20865 を修正するには、以下の「対策マトリックス」の「修正されたバージョン」列に記載されている更新を適用します。

回避策

なし。

追加情報

なし。

メモ

なし。

謝辞

VMware は、この脆弱性を報告していただいた埃文科技の Y4er & MoonBack 氏に心より御礼申し上げます。

対策マトリックス

製品 バージョン 実行環境 CVE 識別番号 CVSS v3 深刻度 修正されたバージョン 回避策 追加のドキュメント
VMware Aria Operations for Logs (Operations for Logs)
8.12
任意
CVE-2023-20864、CVE-2023-20865
N/A
N/A
影響なし
なし
VMware Aria Operations for Logs (Operations for Logs)
8.10.2
任意
CVE-2023-20864、CVE-2023-20865
9.8、7.2
critical
なし
VMware Aria Operations for Logs (Operations for Logs)
8.10
任意
CVE-2023-20864
N/A
N/A
影響なし
なし
VMware Aria Operations for Logs (Operations for Logs)
8.10
任意
CVE-2023-20865
important
なし
VMware Aria Operations for Logs (Operations for Logs)
8.8.x
任意
CVE-2023-20864
N/A
N/A
影響なし
なし
VMware Aria Operations for Logs (Operations for Logs)
8.8.x
任意
CVE-2023-20865
important
なし
VMware Aria Operations for Logs (Operations for Logs)
8.6.x
任意
CVE-2023-20864
N/A
N/A
影響なし
なし
VMware Aria Operations for Logs (Operations for Logs)
8.6.x
任意
CVE-2023-20865
important
なし
VMware Cloud Foundation (VMware Aria Operations for Logs)
4.x
任意
CVE-2023-20864、CVE-2023-20865
9.8、7.2
critical
4. リファレンス
5. 変更ログ

2023-04-20 VMSA-2023-0007

最初のセキュリティ アドバイザリ。

2023-07-10 VMSA-2023-0007.1

VMSA を更新し、VMware が CVE-2023-20864 のエクスプロイト コードが公開されていることを確認したことを記載しました。

6. 連絡先

E メール: security@vmware.com

PGP キー:

https://kb.vmware.com/kb/1055

VMware セキュリティ アドバイザリ

https://www.vmware.com/jp/security/advisories

VMware セキュリティ対策ポリシー

https://www.vmware.com/jp/support/policies/security_response.html

VMware のライフサイクル サポート フェーズ

https://www.vmware.com/jp/support/policies/lifecycle.html

VMware セキュリティ & コンプライアンスに関するブログ

https://blogs.vmware.com/security

 

Twitter

https://twitter.com/VMwareSRC

 

 

Copyright 2023 VMware Inc. All rights reserved.