免責事項：これは英文の記事「Broadcom VMware Cloud Foundation Division response to CVE-2024-6387 - OpenSSH signal handler race condition vulnerability」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

2024 年 7 月 1 日月曜日、OpenSSH のシグナル ハンドラー競合状態の脆弱性である CVE-2024-6387 の詳細が公開されました。Broadcom Product Security and Incident Response Team (PSIRT) と VMware Cloud Foundation Division (VCFD) は、この脆弱性と VMware Cloud Foundation 製品への影響を評価しました。

評価の詳細

• Broadcom PSIRT - VCFD は、この脆弱性を CVSSv3.1 ベース スコア 8.1 で Important/High の重大度範囲と評価しました ( https://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)。
• この脆弱性は、制御された環境内の一部の 32 ビット Linux オペレーティング システムでのみ悪用可能であることが実証されています。
• この脆弱性は、本稿の執筆時点では、64 ビット オペレーティング システムでは確認されていません。
• 現在サポートされている VMware Cloud Foundation 製品リリースは 64 ビットです。
• OpenSSH バージョン 8.5p1 以降がこの脆弱性の影響を受けます。

製品への影響（進行中）

影響を受けません (OpenSSH の脆弱なバージョンには同梱されていません):

• vCenter Server 7.x
• Aria Operations 8.12.x
• Aria Operations 8.10.x
• Aria Operations for Logs 8.12.x
• Aria Operations for Networks 6.13.x
• NSX 4.x
• NSX-T Datacenter 3.x
• VCF SDDC Manager 5.0.x
• VCF SDDC Manager 4.x
• VMware Cloud Director 10.5.x
• VMware Cloud Director 10.4.x
• VMware Identity Manager 3.3.x
• VMware TKrs 1.26.13
• VMware TKrs 1.27.11 (Photon)
• VMware TKrs 1.30.1 and above
• VMware vCloud Usage Meter 4.7.x
• VMware Cloud Provider Lifecycle Manager 1.6.x
• VMware Cloud Provider Lifecycle Manager 1.5.x
• VMware Cloud Provider Lifecycle Manager 1.4.x
• VMware HCX Interconnect Appliance (HCX-IX) 4.9.1
• VMware HCX Network Extension Appliance (IX-BE) 4.9.1
• VMware HCX WAN Optimization Appliance (WAN-OPT) 4.9.1
• VMware HCX Sentinel Data Receiver Appliance (SDR) 4.9.1
• VMware HCX Sentinel Gateway Appliance (SGW) 4.9.1

影響を受ける可能性があるもの (脆弱なバージョンの OpenSSH が付属していますが、64 ビットです):

• ESXi 8.x
• ESXi 7.x
• vCenter Server 8.x
• Aria Operations 8.18.x
• Aria Operations 8.17.x
• Aria Operations 8.16.x
• Aria Operations 8.14.x
• Aria Operations for Logs 8.18.x
• Aria Operations for Logs 8.16.x
• Aria Operations for Logs 8.14.x
• Aria Automation 8.18.x
• Aria Automation 8.17.x
• Aria Automation 8.16.x
• Aria Automation Orchestrator 8.18.x
• Aria Automation Orchestrator 8.17.x
• Aria Automation Orchestrator 8.16.x
• VCF SDDC Manager 5.2.x
• VCF SDDC Manager 5.1.x
• VMware Cloud Director 10.6
• VMware TKrs 1.29.4 (Photon & Ubuntu)
• VMware TKrs 1.28.8 (Photon & Ubuntu)
• VMware TKrs 1.27.11 (Ubuntu)
• VMware Site Recovery Manager 9.x
• VMware Site Recovery Manager 8.8.x
• VMware vSphere Replication 9.x
• VMware vSphere Replication 8.8.x
• VMware vCloud Usage Meter 4.8.x
• VMware Cloud Provider Lifecycle Manager 1.7.x
• VMware HCX Manager 4.9.1

影響を受ける(OpenSSH の脆弱なバージョンが付属しており、32 ビットです)

• なし

回避策

VMware Cloud Foundation 部門は、引き続き、本番環境では SSH を無効のままにしておくことを推奨しています (デフォルトでは無効)。SSH が有効時に無効にする方法の詳細については、製品固有のドキュメントを参照してください。代替の回避策は推奨されておらず、公開されている手順を実行せずに実装すると、製品の機能に影響する可能性があります。追加の回避策がテストされ承認された場合は、上記の「製品への影響」セクションに記載されます。

解決策

CVE-2024-6387 の悪用可能性に関係なく、VMware Cloud Foundation 製品は、以前にスケジュールされた将来のリリースで、CVE-2024-6387 に対して潜在的に脆弱ではない OpenSSH のバージョンを使用します。

これは継続的なイベントですので、この記事が更新されたときに更新情報を受け取るには購読してください。

• ^{2024年7月2日 - 影響を受けないセクションと影響を受ける可能性のあるセクションに製品を追加しました}
  • ^{VMware Aria Operations for Logs}
  • ^{VCF SDDC Manager}
  • ^{VMware Cloud Director}
  • ^{NSX & NSX-T Datacenter}
  • ^{VMware Identity Manager}
• ^{2024年7月3日 - 影響を受けないセクションと影響を受ける可能性のあるセクションに製品を追加しました}
  • ^{VMware Aria Automation}
  • ^{VMware Automation Orchestrator}
  • ^{VMware TKrs}
• ^{2024年7月4日 - 影響を受けないセクションと影響を受ける可能性のあるセクションに製品を追加しました}
  • ^{VMware Cloud Provider Lifecycle Manager}
  • ^{Usage Meter}
  • ^{VMware Site Recover Manager}
  • ^{VMware vSphere Replication}
• ^{2024年7月5日 - 影響を受けないセクションに製品を追加しました}
  • ^{VMware Cloud Provider Lifecycle Manager}
• ^{2024年7月8日 - 影響を受けないセクションと影響を受ける可能性のあるセクションに製品を追加しました}
  • ^{VMware HCX}
• ^{2024年9月30日 - ESXi 8.0 U3bに脆弱性のあるバージョンが含まれなくなりました}
• ^{2024年10月4日 - vCenter Server 8.0 U3b openSSHが8.9p1-8に更新され、脆弱なバージョンが含まれなくなりました。}
• 2024年10月25日 - VM TKRバージョン1.30.1以降のリリースには、脆弱なバージョンのopensshは含まれていません。