![](/engineer-voice/blog/uploads/2065c0b6802ca7aa606b8dc9c3498c4ec9d1bdba.jpg)
※本ブログ記事は「2024年6月19日」時点で確認した情報をもとに作成しています。最新の情報は、BroadcomのSecurity Advisoriesサイトなどでご確認ください。
こんにちは。SB C&S 山田です。
2024年6月18日にVMwareよりアナウンスされた脆弱性(VMSA-2024-0012)について紹介します。
多くのお客様がご利用しているvCenter Serverに対して、クリティカルな脆弱性ですのでご確認ください。
また、この脆弱性はIPA(情報処理推進機構)でも発表されています。詳細はこちらをご覧ください。
影響を受ける対象製品
- VMware vCenter Server
- メジャーバージョン:7.0 / 8.0
- マイナーバージョン:7.0 U3r未満 / 8.0 U1e未満 / 8.0 U2d 未満
- 6.xについては、サポートが終了しているため未評価とされています。
- メジャーバージョン:7.0 / 8.0
- VMware Cloud Foundation(vCenter Serverを含む製品のため)
- 4.x / 5.x
※補足事項
- ESXi については、本脆弱性には該当しません。
- VMware Cloud on AWSなどのクラウド型サービスについては、製品内のメッセージとしてVMSA情報が配信されるため、管理コンソールを確認してください。サービスに関する質問については、そのサービスのサポート プロセスに従ってください。
vCenter Serverのバージョン確認方法
ここでは、vCenter Serverのバージョン確認方法についてご紹介します。
vSphere Clientにログインし、vCenter Serverの [サマリ] タブを開きます。ビルドの項目に表示される番号(ビルド番号)を確認します。
次に、下記KBの情報を参照します。先ほど確認したビルド番号をページ内で検索し、vCenter Serverのバージョンを確認します。
Build numbers and versions of VMware vCenter Server
https://knowledge.broadcom.com/external/article?legacyId=2143838
下記画面キャプチャの例では、vCenter Server 8.0 Update 2aのバージョンであることが確認できましたので、今回公開された脆弱性の対象バージョンであることが判断できます。
脆弱性の詳細
VMware vCenter Server の複数のヒープオーバーフロー脆弱性 (CVE-2024-37079、 CVE-2024-37080 )
重大度:Critical / CVSSv3スコア:9.8
vCenter Server には、DCERPC プロトコルの実装に複数のヒープ オーバーフロー脆弱性が含まれています。vCenter Server へのネットワーク アクセス権を持つ悪意のある攻撃者は、特別に細工されたネットワーク パケットを送信してこれらの脆弱性をトリガーし、リモート コード実行を引き起こす可能性があります。
VMware vCenter の複数のローカル権限昇格の脆弱性 (CVE-2024-37081)
重大度:Moderate / CVSSv3スコア:7.8
vCenter Server には、sudo の誤った構成が原因で、複数のローカル権限昇格の脆弱性が含まれています。管理者権限を持たない認証済みのローカル ユーザーがこれらの問題を悪用して、vCenter Server Appliance で権限を root に昇格する可能性があります。
解決策
影響を受ける対象のvCenter Serverをご利用の場合は、下記いずれかのバージョンへのアップデートが必要です。
- vCenter Server 7.0U3r 以降
- vCenter Server 8.0U1e 以降
- vCenter Server 8.0U2d 以降
※補足事項
- 今回の脆弱性はESXiへの影響はありませんので、ESXiへのパッチの適用は不要です。
- HPE SimpliVity や Dell EMC VxRailなどのソリューションはベンダーに直接お問い合わせください。
vCenter Serverのアップデート手順
ここでは、vCenter Server 8.0 のアップデートを VAMI(vCenter Server Appliance Management Interface)から実施する手順を紹介します。
VAMI以外の方法などを含む、vCenter Server Applianceアップデートの詳細については、以下のドキュメントをご確認ください。
vCenter Server Appliance のアップグレード
https://docs.vmware.com/jp/VMware-vSphere/8.0/vsphere-vcenter-upgrade/GUID-30485437-B107-42EC-A0A8-A03334CFC825.html
アップデート作業で気になる点としては、vCenter Serverの再起動の発生有無や、実行中の仮想マシンへの影響かと思います。
そこで、まずvCenter Serverの再起動の発生有無を確認します。これは、VAMIにてvCenter Serverのアップデート対象バージョンを確認する際に "再起動要求" の列に表示されます。基本的には再起動が必要となるケースが多いかと思います。
ダウンタイムの予測についても、VAMIにてアップデート対象のバージョンを確認する画面で確認できます。
[アップデート前のチェックを実行]をクリックすることで、vCenter Server のダウンタイム予測時間が表示されます。
なお、ここで表示されるダウンタイムはvCneter Serverのダウンタイムです。vCenter Serverの停止中は、vSphere Clientを使用した管理・監視ができなくなるため、仮想マシンの設定変更やvMotionは実施できませんし、DRSによる仮想マシンの負荷分散も一時的に動作しなくなります。
ただし、仮想マシンの起動状態は影響を受けませんし、構成済みのvSphere HAも動作します。
Patch のダウンロード
上記で紹介したVAMIからアップデートを実施する手順では、vCenter Serverがインターネット接続されている環境であれば、自動的にPatchのファイルをダウンロードできます。
一方で、vCenter Serverがインターネットからダウンロードできない環境の場合、直接Patchをダウンロードして適用する手順となります。
Patchのファイルは、下記の vCenter Server リリースノートにあるリンクからダウンロードが可能です。
ただし、ダウンロードには Broadcom サポートポータルの登録ユーザーである必要があります。
- VMware vCenter Server 8.0 Update 2d Release Notes
- VMware vCenter Server 8.0 Update 1e Release Notes
- VMware vCenter Server 7.0 Update 3r Release Notes
Patch のダウンロードアイコンをクリックするとダウンロードが開始されます。
ダウンロードしたISOファイルをvCenter Serverの仮想マシンにマウントし、VAMIのアップデートにある [CD-ROMの確認] をクリックすると、Patchが選択できようになりアップグレード可能になります。
VMware Cloud Foundation での注意点
Cloud FoundationのSDDC Managerによってワークロード ドメインを構成している場合は、以下のKBにしたがって Async Patch Tool を使用してパッチを適用してください。
Applying individual product updates to VMware Cloud Foundation environments using Async Patch Tool (AP Tool)
https://knowledge.broadcom.com/external/article?legacyId=88287
解決策に関する補足事項
今回の脆弱性に関しては、暫定対応策はありません。上記の対応が必要となります。
また、vCenter Server 6.5 / 6.7 に関しては、2023年11月15日をもってTechnical Guidanceフェーズが終了し、サポートが完全に終了となっております。今回の脆弱性の対策として 8.0 U2d 以降へのアップグレードの実施が推奨されます。
当社では、vSphere 8.0へのアップグレードに関して解説したオンデマンドセミナーを公開しておりますので、ぜひご視聴ください。アップグレードするための流れや要件、確認事項、実際の手順などを紹介しております。詳細は以下からご確認ください。
VMware テクニカル講座特別編:vSphere 8.0 アップデート対策
https://licensecounter.jp/vmware/products/vs8updt.html
概要紹介ブログ:VMware テクニカル講座特別編 vSphere 8.0 アップデート対策
https://licensecounter.jp/engineer-voice/blog/articles/20230711_vsphere8_upgrade.html
参考情報
VMSA-2024-0012:VMware vCenter Server updates address heap-overflow and privilege escalation vulnerabilities (CVE-2024-37079, CVE-2024-37080, CVE-2024-37081)
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453
IPAの発表:VMware 製品の脆弱性対策について(CVE-2024-37079 等)
https://www.ipa.go.jp/security/security-alert/2024/alert20240619.html
VMSA-2024-0012: Questions & Answers
https://core.vmware.com/resource/vmsa-2024-0012-questions-answers
各アップデートのリリースノート
VMware vCenter Server 8.0 Update 2d Release Notes
VMware vCenter Server 8.0 Update 1e Release Notes
VMware vCenter Server 7.0 Update 3r Release Notes
Broadcom Support Portalでの製品ダウンロード、パッチダウンロード、サポートリクエストを行うための手順を以下に記載します。
ソフトウェアのダウンロードについて
https://knowledge.broadcom.com/external/article/226522
Broadcom Support Portalにて、ライセンスキーのダウンロードができない場合(契約が確認できない場合)
https://licensecounter.jp/vmware/information/notice/2024/05/012026.html
vCenter Serverのクリティカルな脆弱性(VMSA-2024-0012)について紹介しました。vCenter Serverが対象となるため、影響のあるお客様が多いかと思います。
特にCVE-2024-37079、 CVE-2024-37080においてはCVSSv3スコアが9.8となるため、対象バージョンをご利用されている場合は迅速なアップデート対応、またはvSphere 8.0U2d以降へのアップグレードをを検討ください。
vSphere 8.0へのアップグレード解説動画の特設サイトはこちら
著者紹介
![](/engineer-voice/blog/assets_c/2023/02/e6383f4c5f2db91901b4ac42efc627e844dfd65d-thumb-500x500-39015.jpg)
SB C&S株式会社
ICT事業本部 技術本部 技術統括部
第1技術部 1課
山田 和良 - Kazuyoshi Yamada -
VMware vExpert