独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月24日、複数のVMware製品に存在するOSコマンドインジェクションの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。VMware Workspace One Access (Linux 版) バージョン 20.01 および 20.10VMware Identity Manager (Linux 版) バージョン 3.3.1, 3.3.2 および 3.3.3VMware Identity Manager Connector (Linux 版) バージョン 3.3.1 および 3.3.2VMware Identity Manager Connector (Windows 版) バージョン 3.3.1, 3.3.2 および 3.3.3VMware Cloud Foundation バージョン 4.xvRealize Suite Lifecycle Manager バージョン 8.xJVNによると、VMwareが提供する複数の製品には、OSコマンドインジェクション(CWE-78)の脆弱性が存在し、想定される影響としては、管理者権限を取得し8443/TCPポートの管理用設定機能にアクセス可能な遠隔の第三者によって、当該製品が動作しているOS上で任意のOSコマンドを実行される可能性がある。11月24日現在で、本脆弱性への対策方法は公開されていないが、開発者によるとパッチを近日中に公開予定。ただし、VMware Workspace One Access(Linux 版)、VMware Identity Manager(Linux 版)、VMware Identity Manager Connector(Linux 版)、VMware Identity Manager Connector(Windows 版)については、開発者より回避策が公開されており、適用することで本脆弱性の影響を軽減することが可能。
Microsoft Windows において dccw.exe に対する DLL Hijack により UAC による制限が回避可能となる手法(Scan Tech Report)2020.11.18 Wed 8:10
