独立行政法人情報処理推進機構(IPA)は6月19日、VMware 製品の脆弱性対策について発表した。影響を受けるシステムは以下の通り。
VMware vCenter Server 8.0
VMware vCenter Server 7.0
VMware Cloud Foundation 5.x
VMware Cloud Foundation 4.x
Broadcom が提供する仮想化環境の管理運用ツール「VMware vCenter Server」には、DCE/RPC プロトコルの実装に起因するヒープベースのバッファオーバーフローの脆弱性(CVE-2024-37079、CVE-2024-37080)や、複数のローカル権限昇格の脆弱性(CVE-2024-37081)があり、本脆弱性を悪用された場合、vCenter Server へのアクセス権を持つ第三者によって任意のコードを実行されたり、管理者権限を持たないユーザによって root 権限に昇格されたりする可能性がある。
IPAでは、製品開発者が提供する情報をもとに更新プログラムを適用するよう呼びかけている。Broadcom は、本脆弱性を修正した下記の修正プログラムをリリースしている。
VMware vCenter Server 8.0 U2d
VMware vCenter Server 8.0 U1e
VMware vCenter Server 7.0 U3r
VMware Cloud Foundation KB88287
