【活用ガイド】

JVNDB-2020-009649

複数の VMware 製品に OS コマンドインジェクションの脆弱性

概要

VMware が提供する複数の製品には、OS コマンドインジェクション (CWE-78) の脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.1 (緊急) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 高
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更あり
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
影響を受けるシステム


VMware
  • VMware Cloud Foundation バージョン 4.x
  • VMware Identity Manager (Linux 版) バージョン 3.3.1
  • VMware Identity Manager (Linux 版) バージョン 3.3.2
  • VMware Identity Manager (Linux 版) バージョン 3.3.3
  • VMware Identity Manager Connector (Linux 版) バージョン 3.3.1
  • VMware Identity Manager Connector (Linux 版) バージョン 3.3.2
  • VMware Identity Manager Connector (Windows 版) バージョン 3.3.1
  • VMware Identity Manager Connector (Windows 版) バージョン 3.3.2
  • VMware Identity Manager Connector (Windows 版) バージョン 3.3.3
  • vRealize Suite Lifecycle Manager バージョン 8.x
  • Workspace One Access (Linux 版) バージョン 20.01
  • Workspace One Access (Linux 版) バージョン 20.10

想定される影響

管理者権限を取得し、8443/TCP ポートの管理用設定機能にアクセス可能な遠隔の第三者によって、当該製品が動作している OS 上で任意の OS コマンドを実行される可能性があります。
対策

[パッチを適用する]
開発者が提供する情報をもとに対応するパッチを適用してください。

[ワークアラウンドを実施する]
次の製品には、開発者より回避策が公開されています。

 * VMware Workspace One Access (Linux 版)
 * VMware Identity Manager (Linux 版)
 * VMware Identity Manager Connector (Linux 版)
 * VMware Identity Manager Connector (Windows 版)

回避策を適用することで、本脆弱性の影響を軽減することが可能です。
詳しくは、開発者が提供する情報をご確認ください。
ベンダ情報

VMware
CWEによる脆弱性タイプ一覧  CWEとは?

  1. OSコマンドインジェクション(CWE-78) [JPCERT/CC評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2020-4006
参考情報

  1. JVN : JVNVU#97472624
  2. US-CERT Vulnerability Note : VU#724367
更新履歴

  • [2020年11月25日]
      掲載
  • [2020年12月07日]
      対策:内容を更新
      ベンダ情報:VMware (HW-128524: CVE-2020-4006 for Workspace ONE Access, Identity Manager and Connector (81754)) を追加