VMSA-2023-0023

VMSAから始まるこの番号は、VMwareのアドバイザリー番号です。
先日、VMwareの脆弱性情報が案内されています。

通常、日々新しく脆弱性の情報とそれに対応するための情報が案内されます。
この案内の対象となる製品は、通常はサポート期間内にあるサポート中製品が対象になります。
サポート期間内の製品について脆弱性の有無が確認され、必要に応じて対策が検討され、対応するパッチが提供されるなどします。
逆に言えば、サポート期間を過ぎてしまった古いバージョンの製品は、その情報が通常はありません。
脆弱性には速やかに対応したいものですが、サポート期間を過ぎてしまった古いバージョンの製品には、対応の必要がある脆弱性が存在するのかどうかすらわからないのです。
こういった関係で、計画的なバージョンアップは重要です。

VMSA-2023-0023というセキュリティアドバイザリが先日案内されました。
このアドバイザリには、2つの脆弱性に関する情報が含まれていました。

• CVE-2023-34048
  概要：VMware vCenter Server の境界外書き込みの脆弱性
  CVSSv3ベーススコア：9.8
  vCenter Serverへのネットワークアクセスを持つ悪意のある攻撃者は、範囲外の書き込みを行うことで、リモートからコードが実行できる可能性があります。
• CVE-2023-34056
  概要：VMware vCenter Serverの部分的な情報漏えいの脆弱性
  CVSSv3ベーススコア：4.3
  vCenter Serverに対する非管理者権限を持つ悪意のある攻撃者が、この問題を利用して未承認のデータにアクセスする可能性があります。

どちらの脆弱性も回避策は検討されましたが、確認されておらず、パッチを適用して対応する必要があります。
特に、CVE-2023-34048については、CVSSv3ベーススコアが高く、リモートコード実行が可能となる脆弱性で、さらに回避策もないというもののため、注意が必要です。

通常は、サポート期間が終了したバージョンの製品に関しては、脆弱性の情報もパッチも提供されないのですが、このCVE-2023-34048では異なる対応が提供されています。
2022年10月15日にGeneral Supportが終了したvCenter Server 6.5とvCenter Server 6.7についてもパッチが提供されました。
これらの2つの古いバージョンは、Technical Guidanceサポート期間にあります。
通常、Technical Guidanceの範囲では、パッチは提供されず回避策の案内などのみが行われます。
しかし、今回の脆弱性では回避策がなかったため、General Supportが終わってしまっているものに対するパッチがリリースされたということのようです。

サポート期限の過ぎている古いバージョンを継続使用するということは、セキュリティの観点から推奨されません。
今回のように、特別に脆弱性に対応する手立てが提供されるケースもあるにはありますが、通常期待できません。
新しいソフトウェアには、従来のハードウェアを継続利用できないなどの厳しい条件がある場合はありますが、計画的に更新することが重要であると感じます。

参考記事（外部リンク）：VMSA-2023-0023
www.vmware.com/security/advisories/VMSA-2023-0023.html