Cisco、F5、VMwareの製品に相次いで見つかった脆弱性の正体とは?TechTarget発 世界のITニュース

2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。

2021年11月30日 12時30分 公開
[Shaun NicholsTechTarget]

 2021年8月下旬、Cisco Systems、F5 Networks、VMwareは相次いで、自社製品に含まれる脆弱(ぜいじゃく)性に関するセキュリティアップデートを公開した。脆弱性は任意のコード実行を可能にする恐れがあるため、各社は早急なアップデートの適用を推奨している。同時期に、暗号化通信のためのオープンソースのソフトウェア「OpenSSL」にも脆弱性が見つかった。

Ciscoだけではない F5やVMwareにも数件の脆弱性を発見

 Cisco Systemsの製品には、米国の非営利団体MITREが提供する脆弱性情報「CVE」(共通脆弱性識別子:Common Vulnerabilities and Exposures)リストに載っている17件の脆弱性が見つかった。同社製コントローラー「Cisco Application Policy Infrastructure Controller」(APIC)において任意のファイルの読み取りと書き込みを可能にする「CVE-2021-1577」が最も危険とみられる。

 F5 Networksの場合は、負荷分散装置(ロードバランサー)やアクセス管理ツールを中核としたネットワーク製品群「BIG-IP」とBIG-IP用一括管理ツール群「BIG-IQ」に、29件の脆弱性が見つかった。CVEリストでは全て重大なセキュリティリスクとは見なされないが、13件に関して注意が必要だという。

 今回、CVEリストに載ったVMwareの脆弱性は6件ある。脆弱性の影響を受ける製品は、同社のクラウド構築製品群「VMware Cloud Foundation」、クラウド管理製品群「VMware vRealize Operations」(バージョン8.5以前)、アプリケーションライフサイクル管理ツール「vRealize Suite LifecycleManager」だ。

 VMwareの最も危険な脆弱性は「CVE-2021-22025」だ。VMware vRealize OperationsのAPI(アプリケーションプログラミングインタフェース)のアクセス制御に関する脆弱性で、悪用されればネットワークにノードを追加し、他のノードを管理可能にする恐れがある。他に注意が必要な脆弱性「CVE-2021-22026」「CVE-2021-22027」は、情報流出につながるリスクがある。

 OpenSSLについては、2件の脆弱性が見つかった。「CVE-2021-3711」は暗号化アルゴリズムの復号処理の脆弱性で、OpenSSLを実行しているアプリケーションの動作が変更される可能性がある。CVEによる重要度は「高」だ。重要度「中」の「CVE-2021-3712」はメモリへの不要アクセスに悪用される可能性がある。

TechTarget発 世界のITニュース

新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。

ITmedia マーケティング新着記事

news050.jpg

ウェルビーイング調査 今後最も力を入れたい分野は「身体」、優先度が低いのは?
ASAKO サステナラボは、独自の「60のウェルビーイング指標」により生活者の充足度を数値...

news068.png

10代の7割超がショート動画を「ほぼ毎日見ている」――LINEリサーチ調査
LINEリサーチは全国の男女を対象に、ショート動画に関する調査を実施しました。

news158.png

自社の変化に対して行動する従業員はわずか2割 なぜそうなる?――電通調査
自社の変化に対する従業員の意識について確認するための調査結果です。