セキュリティに関する情報

Google Cloud VMware Engine に関連するセキュリティ情報は随時公開されます。ここには、VMware Engine に関するすべてのセキュリティ情報が記載されています。

このページのセキュリティに関する公開情報を定期的に受け取るには、こちらの XML フィードを使用してください。

GCP-2024-040

公開: 2024-07-01

説明	重大度	メモ
OpenSSH サーバー（sshd）で脆弱性 CVE-2024-6387 が見つかりました。この脆弱性は、glibc ベースの Linux システムでリモートで悪用されます。認証されない root としてのリモートコード実行（脆弱性が、サンドボックス化されておらず、完全な権限で実行される sshd の特権コードに影響するため）。本公開の時点で悪用は困難と考えられています。競合状態を勝ち取る必要があり、悪用を成功させることは困難で、攻撃には 1マシン 1 台につき数時間かかる場合があります。 Google では、悪用の試みは認識していません。必要な対策 Linux ディストリビューションから更新が利用可能になったら、ワークロードに適用します。Linux ディストリビューションのガイダンスをご覧ください。更新ができない場合は、パッチが適用されるまで OpenSSH をオフにすることを検討してください。 OpenSSH をオンにしておく必要がある場合は、構成の更新を実行することで、悪用の競合ケース状態を排除することもできます。これはランタイムの緩和策です。sshd 構成で変更を適用するために、このスクリプトは sshd サービスを再起動します。 #!/bin/bash set -e SSHD_CONFIG_FILE=/etc/ssh/sshd_config # -c: count the matches # -q: don't print to console # -i: sshd_config keywords are case insensitive. if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE" echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE" else sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE" fi # Restart the sshd service to apply the new config. systemctl restart sshd 最後に、SSH サーバーに関連する異常なネットワークアクティビティをモニタリングします。	重大	CVE-2024-6387 Broadcom VMware Cloud Foundation のレスポンス

説明

重大度

メモ

OpenSSH サーバー（sshd）で脆弱性 CVE-2024-6387 が見つかりました。この脆弱性は、glibc ベースの Linux システムでリモートで悪用されます。認証されない root としてのリモートコード実行（脆弱性が、サンドボックス化されておらず、完全な権限で実行される sshd の特権コードに影響するため）。

本公開の時点で悪用は困難と考えられています。競合状態を勝ち取る必要があり、悪用を成功させることは困難で、攻撃には 1マシン 1 台につき数時間かかる場合があります。 Google では、悪用の試みは認識していません。

必要な対策

Linux ディストリビューションから更新が利用可能になったら、ワークロードに適用します。Linux ディストリビューションのガイダンスをご覧ください。
更新ができない場合は、パッチが適用されるまで OpenSSH をオフにすることを検討してください。

OpenSSH をオンにしておく必要がある場合は、構成の更新を実行することで、悪用の競合ケース状態を排除することもできます。これはランタイムの緩和策です。sshd 構成で変更を適用するために、このスクリプトは sshd サービスを再起動します。

#!/bin/bash
set -e

SSHD_CONFIG_FILE=/etc/ssh/sshd_config
# -c: count the matches
# -q: don't print to console
# -i: sshd_config keywords are case insensitive.
if [[ "$(grep -ci '^LoginGraceTime' $SSHD_CONFIG_FILE)" -eq 0 ]]; then
    echo "LoginGraceTime 0" >> "$SSHD_CONFIG_FILE"
    echo "Set the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
else
    sed -i 's/^LoginGraceTime.*$/LoginGraceTime 0/' /etc/ssh/sshd_config
    echo "Changed the LoginGraceTime to 0 in $SSHD_CONFIG_FILE"
fi
# Restart the sshd service to apply the new config.
systemctl restart sshd

最後に、SSH サーバーに関連する異常なネットワークアクティビティをモニタリングします。

重大

GCP-2024-037

公開: 2024 年 6 月 18 日

説明	重大度	メモ
VMware は、VMSA-2024-0012 でお客様の環境にデプロイされた vCenter コンポーネントに影響する複数の脆弱性が開示されました。 VMware Engine への影響この脆弱性は、vCenter Server の特定のポートにアクセスすることで悪用される可能性があります。vCenter Server 上の脆弱なポートは、脆弱性が悪用されるのを防ぐため、Google によりすでにブロックされています。また Google は、今後 vCenter で行われるすべてのデプロイがこの脆弱性にさらされないようにします。必要な対策現時点ではこれ以上のご対応は必要ございません。	重大	CVE-2024-37079 CVE-2024-37080 CVE-2024-37081

説明

重大度

メモ

VMware は、VMSA-2024-0012 でお客様の環境にデプロイされた vCenter コンポーネントに影響する複数の脆弱性が開示されました。

VMware Engine への影響

この脆弱性は、vCenter Server の特定のポートにアクセスすることで悪用される可能性があります。vCenter Server 上の脆弱なポートは、脆弱性が悪用されるのを防ぐため、Google によりすでにブロックされています。
また Google は、今後 vCenter で行われるすべてのデプロイがこの脆弱性にさらされないようにします。

必要な対策

現時点ではこれ以上のご対応は必要ございません。

重大

GCP-2024-016

公開日: 2024 年 3 月 5 日

説明	重大度	メモ
VMware は、VMSA-2024-0006 でお客様の環境にデプロイされた ESXi コンポーネントに影響する複数の脆弱性が開示されました。 VMware Engine への影響セキュリティの脆弱性に対処するため、プライベートクラウドが更新されました。必要な対策お客様側での対応は必要ありません。	重大	VMSA-2024-0006 CVE-2024-22252 CVE-2024-22253 CVE-2024-22254 CVE-2024-22255

説明

重大度

メモ

VMware は、VMSA-2024-0006 でお客様の環境にデプロイされた ESXi コンポーネントに影響する複数の脆弱性が開示されました。

VMware Engine への影響

セキュリティの脆弱性に対処するため、プライベートクラウドが更新されました。

必要な対策

お客様側での対応は必要ありません。

重大

GCP-2023-034

公開日: 2023 年 10 月 25 日

更新日: 2023年 10 月 27 日

説明	重大度	メモ
VMware は、VMSA-2023-0023 でお客様の環境にデプロイされた vCenter コンポーネントに影響する複数の脆弱性が開示されました。 VMware Engine への影響この脆弱性は、vCenter Server の特定のポートにアクセスすることで悪用される可能性があります。これらのポートは公共のインターネットには公開されていません。 vCenter ポート 2012/tcp、2014/tcp、2020/tcp に信頼されないシステムからアクセスできない場合、この脆弱性にさらされることはありません。 Google では、すでに vCenter Server の脆弱なポートをブロックしており、この脆弱性が悪用される可能性を防いでいます。さらに、Google は今後 vCenter Server のすべてのデプロイがこの脆弱性にさらされないようにします。この情報の時点では、VMware は「実際」の悪用については認識していません。詳細については、VMware のドキュメントをご覧ください。必要な対策現時点ではこれ以上のご対応は必要ございません。	重大	CVE-2023-34048、CVE-2023-34056

説明

重大度

メモ

VMware は、VMSA-2023-0023 でお客様の環境にデプロイされた vCenter コンポーネントに影響する複数の脆弱性が開示されました。

VMware Engine への影響

この脆弱性は、vCenter Server の特定のポートにアクセスすることで悪用される可能性があります。これらのポートは公共のインターネットには公開されていません。
vCenter ポート 2012/tcp、2014/tcp、2020/tcp に信頼されないシステムからアクセスできない場合、この脆弱性にさらされることはありません。
Google では、すでに vCenter Server の脆弱なポートをブロックしており、この脆弱性が悪用される可能性を防いでいます。
さらに、Google は今後 vCenter Server のすべてのデプロイがこの脆弱性にさらされないようにします。
この情報の時点では、VMware は「実際」の悪用については認識していません。詳細については、VMware のドキュメントをご覧ください。

必要な対策

現時点ではこれ以上のご対応は必要ございません。

重大

CVE-2023-34048、CVE-2023-34056

GCP-2023-027

公開日: 2023-09-11

説明	重大度	メモ
VMware vCenter Server の更新により、メモリ破損に関する複数の脆弱性（CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896）に対処 VMware Engine への影響 VMware vCenter Server（vCenter Server）と VMware Cloud Foundation（Cloud Foundation）。必要な対策お客様には影響がないため、ご対応は不要です。	中	CVE-2023-20893

説明

重大度

メモ

VMware vCenter Server の更新により、メモリ破損に関する複数の脆弱性（CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896）に対処

VMware Engine への影響

VMware vCenter Server（vCenter Server）と VMware Cloud Foundation（Cloud Foundation）。

必要な対策

お客様には影響がないため、ご対応は不要です。

中

CVE-2023-20893

GCP-2023-025

公開日: 2023 年 8 月 8 日

説明	重大度	メモ
Intel は最近、プロセッサファミリーの一部に影響する Intel Security Advisory INTEL-SA-00828 を発表しました。アドバイザリに基づいてリスクを評価することをおすすめします。 VMware Engine への影響 Google のフリートは、影響を受けるプロセッサファミリーを利用しています。Google のデプロイモデルではサーバー全体が 1 人のユーザー専用であるため、この脆弱性の評価で追加のリスクは発生しません。 Google ではパートナーと協力して必要なパッチを入手しており、今後数週間のうちに標準のアップグレードプロセスを使用して、これらのパッチをフリート全体に優先的にデプロイする予定です。必要な対策影響を受けるすべてのシステムを Google がアップグレードするため、お客様側での対応は不要です。	高	CVE-2022-40982

説明

重大度

メモ

Intel は最近、プロセッサファミリーの一部に影響する Intel Security Advisory INTEL-SA-00828 を発表しました。アドバイザリに基づいてリスクを評価することをおすすめします。

VMware Engine への影響

Google のフリートは、影響を受けるプロセッサファミリーを利用しています。Google のデプロイモデルではサーバー全体が 1 人のユーザー専用であるため、この脆弱性の評価で追加のリスクは発生しません。

Google ではパートナーと協力して必要なパッチを入手しており、今後数週間のうちに標準のアップグレードプロセスを使用して、これらのパッチをフリート全体に優先的にデプロイする予定です。

必要な対策

影響を受けるすべてのシステムを Google がアップグレードするため、お客様側での対応は不要です。

高

CVE-2022-40982

GCP-2021-023

公開日:　2021 年 9 月 21 日

説明	重大度	メモ
VMware セキュリティアドバイザリ VMSA-2021-0020 によると、VMware は vCenter で複数の脆弱性に関する報告を受信しました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。 Google では、vSphere スタック用に VMware から提供されたパッチを VMware セキュリティアドバイザリに従って Google Cloud VMware Engine に適用しました。このアップデートは、CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008、CVE-2021-22010 のセキュリティ脆弱性に対応しています。その他の重要ではないセキュリティ問題については、今後の VMware スタックのアップグレードで対処する予定です（7 月にお送りしたお知らせに、アップグレードの具体的なタイムラインが記載されています）。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。必要な対策 VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。	重大	VMSA-2021-0020 CVE-2021-22005 CVE-2021-22006 CVE-2021-22007 CVE-2021-22008 CVE-2021-22010

説明

重大度

メモ

VMware セキュリティアドバイザリ VMSA-2021-0020 によると、VMware は vCenter で複数の脆弱性に関する報告を受信しました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。

Google では、vSphere スタック用に VMware から提供されたパッチを VMware セキュリティアドバイザリに従って Google Cloud VMware Engine に適用しました。このアップデートは、CVE-2021-22005、CVE-2021-22006、CVE-2021-22007、CVE-2021-22008、CVE-2021-22010 のセキュリティ脆弱性に対応しています。その他の重要ではないセキュリティ問題については、今後の VMware スタックのアップグレードで対処する予定です（7 月にお送りしたお知らせに、アップグレードの具体的なタイムラインが記載されています）。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-010

公開日: 2021 年 5 月 25 日

説明	重大度	注
VMware セキュリティアドバイザリ VMSA-2021-0010 によると、vSphere Client（HTML5）のリモートコード実行と認証バイパスに関する脆弱性が VMware に非公開で報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを作成しました。 Google では、VMware セキュリティアドバイザリに従い、vSphere スタック用に VMware が提供するパッチを適用しました。このアップデートは、CVE-2021-21985、CVE-2021-21986 に記載されているセキュリティ上の脆弱性に対応しています。現時点で、VMware Engine プライベートクラウドで実行されているイメージバージョンには、パッチが適用済みであることを示す変更は反映されていません。適切なパッチがインストールされ、お客様の環境はこれらの脆弱性から保護されていますので、ご安心ください。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。必要な対策 VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。	重大	VMSA-2021-0010 CVE-2021-21985 CVE-2021-21986

説明

重大度

注

VMware セキュリティアドバイザリ VMSA-2021-0010 によると、vSphere Client（HTML5）のリモートコード実行と認証バイパスに関する脆弱性が VMware に非公開で報告されました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを作成しました。

Google では、VMware セキュリティアドバイザリに従い、vSphere スタック用に VMware が提供するパッチを適用しました。このアップデートは、CVE-2021-21985、CVE-2021-21986 に記載されているセキュリティ上の脆弱性に対応しています。現時点で、VMware Engine プライベートクラウドで実行されているイメージバージョンには、パッチが適用済みであることを示す変更は反映されていません。適切なパッチがインストールされ、お客様の環境はこれらの脆弱性から保護されていますので、ご安心ください。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大

GCP-2021-002

公開日: 2021 年 3 月 5 日

説明	重大度	注
VMware セキュリティアドバイザリ VMSA-2021-0002 によると、VMware は、VMware ESXi と vSphere クライアント（HTML5）に複数の脆弱性に関する報告を受けました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。 Google では、VMware セキュリティアドバイザリに従い、公式のドキュメントに記載されている回避策を vSphere スタックに適用しました。このアップデートは、CVE-2021-21972、CVE-2021-21973、CVE-2021-21974 に記載されているセキュリティ脆弱性に対応しています。 VMware Engine への影響調査の結果、影響を受けたお客様は見つかりませんでした。必要な対策 VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。	重大	VMSA-2021-0002 CVE-2021-21972 CVE-2021-21973 CVE-2021-21974

説明

重大度

注

VMware セキュリティアドバイザリ VMSA-2021-0002 によると、VMware は、VMware ESXi と vSphere クライアント（HTML5）に複数の脆弱性に関する報告を受けました。VMware は、影響を受ける VMware 製品の脆弱性の修正のためにアップデートを行いました。

Google では、VMware セキュリティアドバイザリに従い、公式のドキュメントに記載されている回避策を vSphere スタックに適用しました。このアップデートは、CVE-2021-21972、CVE-2021-21973、CVE-2021-21974 に記載されているセキュリティ脆弱性に対応しています。

VMware Engine への影響

調査の結果、影響を受けたお客様は見つかりませんでした。

必要な対策

VMware Engine クラスタはこの脆弱性の影響を受けないため、これ以上の対処は必要ありません。

重大