CVE-2019-5544 は ESXi に影響を与えるものと判断されました。この脆弱性と VMware 製品への影響は「VMSA-2019-0022」に記載されています。続行する前にこのアドバイザリを確認してください。このドキュメントの範囲に含まれていない考慮事項がある場合があります。

ESXi チームは、CVE-2019-5544 を調査し、この記事の「解決方法」セクションに記載されている手順を実行することで、悪用の可能性を軽減できると判断しました。この回避策は、一時的な解決のみを目的としています。VMware Security Advisory VMSA-2019-0022 に記載されたパッチをデプロイすることが推奨されます。

警告：

この回避策は、ESXi のみに適用されます。この回避策を他の VMware 製品に適用しないでください。

機能上の影響：

この回避策により、SLP を使用してポート #427 上で CIM サーバを検索する CIM クライアントはサービスを見つけることができなくなります。

VMware vSphere ESXi 6.5
VMware vSphere ESXi 6.7
VMware vSphere ESXi 7.0.0

CVE-2019-5544 の回避策を実装するには、次の手順を実行します。
 

1. 次のコマンドを使用して ESXi ホストの SLP サービスを停止します。

/etc/init.d/slpd stop



注：SLP サービスは、サービスが使用されていない場合にのみ停止できます。次のコマンドを使用して、サービス ロケーション プロトコル デーモンの動作状態を表示します。

esxcli system slp stats get
 

2. 次のコマンドを実行して、SLP サービスを無効にします。

esxcli network firewall ruleset set -r CIMSLP -e 0
この変更が再起動後も持続するようにするには、次のコマンドを実行します。

chkconfig slpd off
再起動後に変更が適用されているかどうかを確認するには、次のコマンドを実行します。
chkconfig --list | grep slpd

output: slpd off
 

CVE-2019-5544 の回避策を削除するには、次の手順を実行します。

1. 次のコマンドを実行して、SLP サービスのルールセットを有効にします。

esxcli network firewall ruleset set -r CIMSLP -e 1

2. 次のコマンドを実行して、slpd サービスの現在の起動情報を変更します：

chkconfig slpd on

次のコマンドを実行して、上記の手順（手順 2#）を実行した後に変更が適用されているかどうかを確認します。
chkconfig --list | grep slpd

output: slpd on

3. 次のコマンドを実行して、SLP サービスを開始します：

/etc/init.d/slpd start

4. CIM エージェントを無効にしてから有効にします。「 How to disable or enable the CIM agent on the ESX/ESXi host」を参照してください。

CVE-2019-5544 の最新情報と将来のセキュリティ情報については、「VMSA-2019-0022」にある [Sign up for Security Advisories] ウィンドウにメール アドレスを追加してください。

CVE-2019-5544 およびその他の脆弱性に関する追加情報については、「VMware Security & Compliance Blog」を参照してください。

また、Twitter アカウント @VMwareSRC でも新しいアドバイザリのアラートを発信しています。