概要
VMware社からセキュリティアドバイザリ「VMSA-2016-0002: VMware product updates address a critical glibc security vulnerability」が発行されており、ESXi 5.5以降と仮想マシンアプライアンスが影響を受けるとされている。パッチの提供も一部開始されている。
詳細
VMware製品への影響や対策は、ナレッジベースおよびセキュリティアドバイザリで確認する。以下に確認できた範囲で情報をまとめる。
背景
2016年2月18日に、National Vulnerbility DatabaseにCVE-2015-7547が登録されている。
JPCERTからも「glibc ライブラリの脆弱性 (CVE-2015-7547) に関する注意喚起」が出されている。
VMware社からの発信情報
今回のglibc脆弱性のVMware製品への影響については、VMware社からセキュリティアドバイザリが発行されている。
また対応状況を知らせるナレッジとして以下が出されており、ワークアラウンドもまとめられている。
関連ナレッジの和訳
現在のところ、関連ナレッジの和訳はない。
対策
セキュリティアドバイザリVMSA-2016-0002に従って対策を行う。
ESXi
ESXi 5.0までは、この脆弱性の影響を受けないとのこと。ESXi 5.5~6.0については、パッチが提供されているので、適用する。
Windowsベース製品
Windows版vCenterを含むすべてのWindowsベース製品は、この脆弱性の影響を受けないとのこと。
仮想マシンアプライアンス
この脆弱性の影響を受けるものがある。KB:2144032を参照し個々に確認、対策ないしワークアラウンドの適用を行う。
たとえばvCenter Server Appliance(以下vCSA)については、上記KBからリンクされている「VMware vCenter Server Appliance workaround for CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow (2144075)」を参照する。このKBの記述によれば、vCSA 5.0、5.1、5.5、6.0が影響を受け、現時点でのワークアラウンドとしてファイアウォールルールの変更が推奨される。
参照
本脆弱性の内容。
VMware社からの発信情報。
- VMSA-2016-0002: VMware product updates address a critical glibc security vulnerability
- VMware Response to CVE-2015-7547: glibc getaddrinfo stack-based buffer overflow (2144032)
この他、製品個別に出されたKBがあり、上記KB:2144032からリンクされている。
VMware社のナレッジやセキュリティアドバイスは、随時更新されるので、適宜、原文を確認されたい。
本ページ内容は筆者が参照の便のためにある持点でまとめた個人的なメモです。内容を保証するものではなく、また筆者の所属組織等とは一切かかわりがありません。