JVNDB-2020-009649
|
複数の VMware 製品に OS コマンドインジェクションの脆弱性
|
|
VMware が提供する複数の製品には、OS コマンドインジェクション (CWE-78) の脆弱性が存在します。
|
|
CVSS v3 による深刻度
基本値: 9.1 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 高
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
|
|
|
VMware
- VMware Cloud Foundation バージョン 4.x
- VMware Identity Manager (Linux 版) バージョン 3.3.1
- VMware Identity Manager (Linux 版) バージョン 3.3.2
- VMware Identity Manager (Linux 版) バージョン 3.3.3
- VMware Identity Manager Connector (Linux 版) バージョン 3.3.1
- VMware Identity Manager Connector (Linux 版) バージョン 3.3.2
- VMware Identity Manager Connector (Windows 版) バージョン 3.3.1
- VMware Identity Manager Connector (Windows 版) バージョン 3.3.2
- VMware Identity Manager Connector (Windows 版) バージョン 3.3.3
- vRealize Suite Lifecycle Manager バージョン 8.x
- Workspace One Access (Linux 版) バージョン 20.01
- Workspace One Access (Linux 版) バージョン 20.10
|
|
|
管理者権限を取得し、8443/TCP ポートの管理用設定機能にアクセス可能な遠隔の第三者によって、当該製品が動作している OS 上で任意の OS コマンドを実行される可能性があります。
|
|
[パッチを適用する]
開発者が提供する情報をもとに対応するパッチを適用してください。
[ワークアラウンドを実施する]
次の製品には、開発者より回避策が公開されています。
* VMware Workspace One Access (Linux 版)
* VMware Identity Manager (Linux 版)
* VMware Identity Manager Connector (Linux 版)
* VMware Identity Manager Connector (Windows 版)
回避策を適用することで、本脆弱性の影響を軽減することが可能です。
詳しくは、開発者が提供する情報をご確認ください。
|
|
VMware
|
|
- OSコマンドインジェクション(CWE-78) [JPCERT/CC評価]
|
|
- CVE-2020-4006
|
|
- JVN : JVNVU#97472624
- National Vulnerability Database (NVD) : CVE-2020-4006
- US-CERT Vulnerability Note : VU#724367
|
|
- [2020年11月25日]
掲載
- [2020年12月07日]
対策:内容を更新
ベンダ情報:VMware (HW-128524: CVE-2020-4006 for Workspace ONE Access, Identity Manager and Connector (81754)) を追加
|
