Cisco、F5、VMwareの製品に相次いで見つかった脆弱性の正体とは?TechTarget発 世界のITニュース

2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。

2021年11月30日 12時30分 公開
[Shaun NicholsTechTarget]

 2021年8月下旬、Cisco Systems、F5 Networks、VMwareは相次いで、自社製品に含まれる脆弱(ぜいじゃく)性に関するセキュリティアップデートを公開した。脆弱性は任意のコード実行を可能にする恐れがあるため、各社は早急なアップデートの適用を推奨している。同時期に、暗号化通信のためのオープンソースのソフトウェア「OpenSSL」にも脆弱性が見つかった。

Ciscoだけではない F5やVMwareにも数件の脆弱性を発見

 Cisco Systemsの製品には、米国の非営利団体MITREが提供する脆弱性情報「CVE」(共通脆弱性識別子:Common Vulnerabilities and Exposures)リストに載っている17件の脆弱性が見つかった。同社製コントローラー「Cisco Application Policy Infrastructure Controller」(APIC)において任意のファイルの読み取りと書き込みを可能にする「CVE-2021-1577」が最も危険とみられる。

 F5 Networksの場合は、負荷分散装置(ロードバランサー)やアクセス管理ツールを中核としたネットワーク製品群「BIG-IP」とBIG-IP用一括管理ツール群「BIG-IQ」に、29件の脆弱性が見つかった。CVEリストでは全て重大なセキュリティリスクとは見なされないが、13件に関して注意が必要だという。

 今回、CVEリストに載ったVMwareの脆弱性は6件ある。脆弱性の影響を受ける製品は、同社のクラウド構築製品群「VMware Cloud Foundation」、クラウド管理製品群「VMware vRealize Operations」(バージョン8.5以前)、アプリケーションライフサイクル管理ツール「vRealize Suite LifecycleManager」だ。

 VMwareの最も危険な脆弱性は「CVE-2021-22025」だ。VMware vRealize OperationsのAPI(アプリケーションプログラミングインタフェース)のアクセス制御に関する脆弱性で、悪用されればネットワークにノードを追加し、他のノードを管理可能にする恐れがある。他に注意が必要な脆弱性「CVE-2021-22026」「CVE-2021-22027」は、情報流出につながるリスクがある。

 OpenSSLについては、2件の脆弱性が見つかった。「CVE-2021-3711」は暗号化アルゴリズムの復号処理の脆弱性で、OpenSSLを実行しているアプリケーションの動作が変更される可能性がある。CVEによる重要度は「高」だ。重要度「中」の「CVE-2021-3712」はメモリへの不要アクセスに悪用される可能性がある。

TechTarget発 世界のITニュース

新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。

ITmedia マーケティング新着記事

news035.jpg

低迷するナイキやアディダスを猛追する「HOKA」の “破壊的”ブランディングとは?
ランナーの間で好感度が低迷しているNikeに対し、ディスラプター(破壊的企業)として取...

news051.jpg

新紙幣の発行、3社に1社が日本経済に「プラスの影響」と回答――帝国データバンク調査
20年ぶりの新紙幣発行は日本経済にどのような影響を及ぼすのでしょうか。帝国データバン...

news196.png

WPPとIBMが生成AIを活用したB2Bマーケティング領域で連携
IBMのビジネス向けAIおよびデータプラットフォームである「watsonx」の機能を「WPP Open...