[対策あり]VMware製品に複数の深刻度Criticalの脆弱性

2022年4月6日（現地時間）VMwareは「VMware Workspace ONE Access」「VMware Identity Manager」に深刻度Criticalに分類される脆弱性（CVE-2022-22954/CVE-2022-22955/CVE-2022-22956/CVE-2022-22957/CVE-2022-22958）が確認されたとして修正パッチをリリースしました。 この脆弱性は修正パッチをインストールすることで対策が可能です。

VMwareのアナウンス

脆弱性の詳細

以下の深刻度Criticalの脆弱性が確認されています。

サーバー側のテンプレートインジェクションリモートコード実行の脆弱性（CVE-2022-22954）

ネットワークにアクセスできる攻撃者がOOXMLドキュメントのフォーマットのテンプレート属性を通して不正なマクロを実行する可能性があります。

OAuth2 ACS認証バイパスの脆弱性（CVE-2022-22955、CVE-2022-22956）

OAuth2 ACS認証を迂回し、攻撃者にデバイスの機密情報を盗み見られる可能性があります。

JDBCインジェクションリモートコード実行の脆弱性（CVE-2022-22957、CVE-2022-22958）

悪意のあるJDBC URLを介した信頼できないデータの逆シリアル化の実行により、リモートで任意のコードが実行される可能性があります。

対象製品

対象製品、かつ影響を受けるバージョンの場合、早めに修正パッチを適用しましょう。

• VMware Workspace ONE Access
• VMware Identity Manager

影響を受けるバージョン一覧

• VMwareWorkspaceONEアクセスアプライアンス 21.08.0.1
• VMwareWorkspaceONEアクセスアプライアンス 21.08.0.0
• VMwareWorkspaceONEアクセスアプライアンス 20.10.0.1
• VMwareWorkspaceONEアクセスアプライアンス 20.10.0.0
• VMwareIdentityManagerアプライアンス 3.3.6
• VMwareIdentityManagerアプライアンス 3.3.5
• VMwareIdentityManagerアプライアンス 3.3.4
• VMwareIdentityManagerアプライアンス 3.3.3
• VMware Realize Automation 7.6

修正パッチの入手先

VMwareWorkspaceONEアクセスアプライアンス 21.08.0.1

VMwareWorkspaceONEアクセスアプライアンス 21.08.0.0

VMwareWorkspaceONEアクセスアプライアンス 21.10.0.01

VMwareWorkspaceONEアクセスアプライアンス 20.10.0.0

VMwareIdentityManagerアプライアンス 3.3.6

VMwareIdentityManagerアプライアンス 3.3.5

VMwareIdentityManagerアプライアンス 3.3.4

VMwareIdentityManagerアプライアンス 3.3.3

VMware Realize Automation 7.6

投稿 [対策あり]VMware製品に複数の深刻度Criticalの脆弱性 は アーザスBlog に最初に表示されました。