Cisco、F5、VMwareの製品に相次いで見つかった脆弱性の正体とは?TechTarget発 世界のITニュース

2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。

2021年11月30日 12時30分 公開
[Shaun NicholsTechTarget]

 2021年8月下旬、Cisco Systems、F5 Networks、VMwareは相次いで、自社製品に含まれる脆弱(ぜいじゃく)性に関するセキュリティアップデートを公開した。脆弱性は任意のコード実行を可能にする恐れがあるため、各社は早急なアップデートの適用を推奨している。同時期に、暗号化通信のためのオープンソースのソフトウェア「OpenSSL」にも脆弱性が見つかった。

Ciscoだけではない F5やVMwareにも数件の脆弱性を発見

 Cisco Systemsの製品には、米国の非営利団体MITREが提供する脆弱性情報「CVE」(共通脆弱性識別子:Common Vulnerabilities and Exposures)リストに載っている17件の脆弱性が見つかった。同社製コントローラー「Cisco Application Policy Infrastructure Controller」(APIC)において任意のファイルの読み取りと書き込みを可能にする「CVE-2021-1577」が最も危険とみられる。

 F5 Networksの場合は、負荷分散装置(ロードバランサー)やアクセス管理ツールを中核としたネットワーク製品群「BIG-IP」とBIG-IP用一括管理ツール群「BIG-IQ」に、29件の脆弱性が見つかった。CVEリストでは全て重大なセキュリティリスクとは見なされないが、13件に関して注意が必要だという。

 今回、CVEリストに載ったVMwareの脆弱性は6件ある。脆弱性の影響を受ける製品は、同社のクラウド構築製品群「VMware Cloud Foundation」、クラウド管理製品群「VMware vRealize Operations」(バージョン8.5以前)、アプリケーションライフサイクル管理ツール「vRealize Suite LifecycleManager」だ。

 VMwareの最も危険な脆弱性は「CVE-2021-22025」だ。VMware vRealize OperationsのAPI(アプリケーションプログラミングインタフェース)のアクセス制御に関する脆弱性で、悪用されればネットワークにノードを追加し、他のノードを管理可能にする恐れがある。他に注意が必要な脆弱性「CVE-2021-22026」「CVE-2021-22027」は、情報流出につながるリスクがある。

 OpenSSLについては、2件の脆弱性が見つかった。「CVE-2021-3711」は暗号化アルゴリズムの復号処理の脆弱性で、OpenSSLを実行しているアプリケーションの動作が変更される可能性がある。CVEによる重要度は「高」だ。重要度「中」の「CVE-2021-3712」はメモリへの不要アクセスに悪用される可能性がある。

TechTarget発 世界のITニュース

新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news150.jpg

「猛暑」「米騒動」「インバウンド」の影響は? 2024年に最も売り上げが伸びたものランキング
小売店の推定販売金額の伸びから、日用消費財の中で何が売れたのかを振り返るランキング...

news110.jpg

Netflixコラボが止まらない 「イカゲーム」シーズン2公開で人気爆上がり必至のアプリとは?
Duolingoは言語学習アプリとNetflixの大人気ドラマを結び付けたキャンペーンを展開。屋外...

news199.jpg

Yahoo!広告における脱デモグラフィックの配信・分析を実現 電通が「DESIRE Targeting」を提供開始
電通の消費者研究プロジェクトチームは、消費者を理解し、Yahoo!広告の配信や分析を実施...