概要
VMware社からナレッジ「VMware KB: VMware products not affected by CVE-2015-3456, aka VENOM(2117469)」が発行されており、脆弱性のみつかったコードはVMware製品では使われていないとしている。
詳細
VMware製品への影響や対策は、ナレッジベースおよびセキュリティアドバイザリで確認する。以下に確認できた範囲で情報をまとめる。
背景
2015年5月13日に、National Vulnerbility DatabaseにCVE-2015-3456が登録されている。この問題は、「VENOM」の通称でも情報が広まっている。
VMware社からの発信情報
VENOM脆弱性のVMware製品への影響については、VMware社から(1)調査結果のナレッジが出されている。
2015年5月22日時点で、関連するセキュリティアドバイザリは発行されていない。ナレッジからは影響なしとの判断になるので、発行されないと思われる。
関連ナレッジの和訳
現在のところ、関連ナレッジの和訳はない。
対策
特別なアクションは必要ないと思われる。ナレッジでは、以下のように説明している。
VMware products are not vulnerable to CVE-2015-3456. VMware product security has reviewed CVE-2015-3456 and has concluded that the vulnerable code is not used in VMware products.
以下に私訳を乗せる。
VMware製品はCVE-2015-3456の脆弱性を含まない。VMware製品セキュリティはCVE-2015-3456をレビューし、この脆弱性のあるコードがVMware製品では使われていないと結論した。
参照
本脆弱性の内容。
- NVD - Vulnerability Summary for CVE-2015-3456
- QEMU 脆弱性 ”VENOM” について (CVE-2015-3456) — | サイオス OSS よろずブログ
VMware社からの発信情報。
VMware社のナレッジやセキュリティアドバイスは、随時更新されるので、適宜、原文を確認されたい。
本ページ内容は筆者が参照の便のためにある持点でまとめた個人的なメモです。内容を保証するものではなく、また筆者の所属組織等とは一切かかわりがありません。