免責事項：これは英文の記事「Impact of CVE-2024-39894 on vCenter Server Appliance」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

https://nvd.nist.gov/vuln/detail/CVE-2024-39894 に記載されているように、OpenSSH バージョン 9.5 から 9.7 に影響します。

vCenter Server Appliance 6.x
vCenter Server Appliance 7.x
vCenter Server Appliance 8.x

CVE の説明によると次の記載があります。

「OpenSSH バージョン 9.5 から 9.7、9.8 より前では、ObscureKeystrokeTiming logic error が原因で、echo-off パスワード入力 (su や Sudo など) に対するタイミング攻撃が許可される場合があります。同様に、キーストローク入力に対するその他のタイミング攻撃も発生する可能性があります。」

vCenter Server 8.0U3a は、CVE-2024-39894 の影響を受けない OpenSSH バージョン 8.9p1 を使用します。

vCenter Server 6.7 U3v は OpenSSH_7.4p1 を使用します。

vCenter Server 7.0 U3t は OpenSSH_7.8p1 を使用します。

すべてのアップデートにわたる vCenter バージョン 6.7 および 7.0 では、OpenSSH の 8.9p1 以下のバージョンが使用されるため、影響を受けません。