2021年11月30日 12時30分 公開
特集/連載

Cisco、F5、VMwareの製品に相次いで見つかった脆弱性の正体とは?TechTarget発 世界のITニュース

2021年8月、大手IT企業数社の製品に脆弱性が見つかった。各社は被害の報告は受けていないというが、セキュリティアップデートの実行を推奨している。脆弱性はどのようなものだったのか。

[Shaun Nichols,TechTarget]

 2021年8月下旬、Cisco Systems、F5 Networks、VMwareは相次いで、自社製品に含まれる脆弱(ぜいじゃく)性に関するセキュリティアップデートを公開した。脆弱性は任意のコード実行を可能にする恐れがあるため、各社は早急なアップデートの適用を推奨している。同時期に、暗号化通信のためのオープンソースのソフトウェア「OpenSSL」にも脆弱性が見つかった。

 Cisco Systemsの製品には、米国の非営利団体MITREが提供する脆弱性情報「CVE」(共通脆弱性識別子:Common Vulnerabilities and Exposures)リストに載っている17件の脆弱性が見つかった。同社製コントローラー「Cisco Application Policy Infrastructure Controller」(APIC)において任意のファイルの読み取りと書き込みを可能にする「CVE-2021-1577」が最も危険とみられる。

Ciscoだけではない F5やVMwareにも数件の脆弱性を発見

 F5 Networksの場合は、負荷分散装置(ロードバランサー)やアクセス管理ツールを中核としたネットワーク製品群「BIG-IP」とBIG-IP用一括管理ツール群「BIG-IQ」に、29件の脆弱性が見つかった。CVEリストでは全て重大なセキュリティリスクとは見なされないが、13件に関して注意が必要だという。

 今回、CVEリストに載ったVMwareの脆弱性は6件ある。脆弱性の影響を受ける製品は、同社のクラウド構築製品群「VMware Cloud Foundation」、クラウド管理製品群「VMware vRealize Operations」(バージョン8.5以前)、アプリケーションライフサイクル管理ツール「vRealize Suite LifecycleManager」だ。

 VMwareの最も危険な脆弱性は「CVE-2021-22025」だ。VMware vRealize OperationsのAPI(アプリケーションプログラミングインタフェース)のアクセス制御に関する脆弱性で、悪用されればネットワークにノードを追加し、他のノードを管理可能にする恐れがある。他に注意が必要な脆弱性「CVE-2021-22026」「CVE-2021-22027」は、情報流出につながるリスクがある。

 OpenSSLについては、2件の脆弱性が見つかった。「CVE-2021-3711」は暗号化アルゴリズムの復号処理の脆弱性で、OpenSSLを実行しているアプリケーションの動作が変更される可能性がある。CVEによる重要度は「高」だ。重要度「中」の「CVE-2021-3712」はメモリへの不要アクセスに悪用される可能性がある。

TechTarget発 世界のITニュース

新製品・新サービスや調査結果、セキュリティインシデントなど、米国TechTargetが発信する世界のITニュースをタイムリーにお届けします。

ITmedia マーケティング新着記事

news152.jpg

よく分かる「デジタルネイティブ」入門(無料eBook)
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...

news056.jpg

マーケターの87%がサードパーティーCookie利用規制の影響を実感――イルグルム調査
広告主はWeb広告の効果においてCookieの利用規制の影響を感じているようです。

news122.jpg

2021年ホリデーシーズンにおける米国オンライン消費額、サプライチェーン危機にもかかわらず過去最大を更新
「Adobe Digital Economy Index」によると、米国の2021年のホリデーシーズンにおけるオン...