VMSA-2016-0002:VMware 製品の更新により、重大な glibc のセキュリティの脆弱性に対処します

high Nessus プラグイン ID 88954

概要

リモートの VMware ESXi ホストにセキュリティ関連のパッチがありません。

説明

a. 複数の製品に対する glibc の更新。

複数の製品で glibc ライブラリが更新され、glibc getaddrinfo 関数に存在するスタックベースのバッファオーバーフローが解決しました。
Common Vulnerabilities and Exposures プロジェクト(cve.mitre.org)により、識別子 CVE-2015-7547 が割り当てられました。

Vmware 製品は次の 4 つの製品カテゴリにグループ分けされました:
I) ESXi および 5.5 より前の ESXi および ESX の ESX Hypervisor バージョンは、脆弱なバージョンの glibc で出荷されていないため影響を受けません。
脆弱なバージョンの glibc で出荷されている ESXi 5.5 および ESXi 6.0 は影響を受けます。ESXi 5.5 および ESXi 6.0 の修正についてはテーブル 1 を参照してください。
II) Windows ベースの製品 Windows 上で実行される vCenter Server の全バージョンを含む Windows ベースの製品は影響を受けません。

III) VMware 仮想アプライアンス VMware 仮想アプライアンスは、脆弱なバージョンの glibc で出荷されているため影響を受けます。アプライアンスの修正については、表 2 を参照してください。
IV) Linux で実行する製品 Linux で実行する VMware 製品(仮想アプライアンスを除く)は、ベースのオペレーティングシステムの一部として脆弱なバージョンの glibc を使用している可能性があります。オペレーティングシステムに脆弱なバージョンの glibc がある場合、VMware は、顧客が解決策についてオペレーティングシステムのベンダーに問い合わせることを推奨しています。回避策

いくつかの仮想アプライアンスでは回避策が利用できます。これらは、VMware KB 記事 2144032 に記載されています。

推奨

VMware では、下記の表 1 および表 2 に記載された影響を受ける製品を評価し、これらのパッチが利用可能になり次第、パッチを適用することをお客様に推奨しています。パッチが利用できない場合は、顧客は回避策をデプロイすることが推奨されます。

次のテーブルの列 4 には、解決方法が利用可能である場合に、各リリースの脆弱性を修正するのに必要なアクションが一覧表示されています。

テーブル 1 - ESXi ==============

ソリューション

欠落しているパッチを適用してください。

関連情報

http://lists.vmware.com/pipermail/security-announce/2016/000320.html

https://www.tenable.com/security/research/tra-2017-08

プラグインの詳細

深刻度: High

ID: 88954

ファイル名: vmware_VMSA-2016-0002.nasl

バージョン: 2.20

タイプ: local

公開日: 2016/2/25

更新日: 2021/1/6

リスク情報

VPR

リスクファクター: High

スコア: 8.4

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 7.8

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:POC/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 8.1

Temporal Score: 7.3

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:vmware:esxi:5.5, cpe:/o:vmware:esxi:6.0

必要な KB アイテム: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2016/2/22

参照情報

CVE: CVE-2015-7547