多くの企業で使っている仮想化基盤のハイパーバイザーはVMware社のESXiになると思いますが、仮想化基盤であっても脆弱性があるので、脆弱性が発見された時点でその内容によっては対応する必要があります。


中小企業なら攻撃されることはないと思っている担当者もいるとは思いますが、リスクがゼロとは言えないので、しっかりと内容をチェックしたほうがいいです。


中小企業の場合、人も少ないので脆弱性を放置したままということが多いので注意が必要です。


そして、ESXiを管理するサーバがvCenter Serverになりますが、リモートからコードを実行される脆弱性が発見されました。


元ネタはこちら。
「VMware vCenter」にリモートよりコード実行が可能となる深刻な脆弱性


記事によると、「VMware vCenter Server」にリモートよりコードの実行が可能となる脆弱性が含まれていることがわかったそうで、アップデートがリリースされています。

同製品が、「AMF3」のメッセージを処理する際に利用する「BlazeDS」に脆弱性「CVE-2017-5641」が判明したことから、対処したもの。

カスタマーエクスペリエンス改善プログラム「CEIP」に用いており、信頼されていないJavaオブジェクトの逆シリアル化を行った際にコードを実行されるおそれがある。重要度は4段階中もっとも高い「クリティカル(Critical)」。

「同6.5」および「同6.0」に影響があり、同社ではそれぞれ脆弱性へ対処した「同6.5c」「同6.0U3b」を提供している。
 
そして、公式サイトはこちらになります。

Workaround for BlazeDS CVE-2017-5641 for vCenter Server 6.5 (2149815)
 

以下は事象の日本語訳です。手順はサイトを確認してください。

【目的】
CVE-2017-5641によって追跡される重大な脆弱性が存在します。この脆弱性は、Windows上のvCenter ServerアプライアンスおよびvCenter Serverに影響します。

この記事では、カスタマエクスペリエンス向上プログラムを無効にすることで、セキュリティ上の問題CVE-2017-5641の回避策を提供します。回避策を適用する前に、VMSA -2017-0007の修正プログラムとこの脆弱性に関する最新情報を参照してください。

次のバージョンのvCenter Server ApplianceおよびvCenter Serverは、CVE-2017-5641の問題の影響を受けます。

・VMware vCenter Serverアプライアンス6.5
・VMware vCenter Server 6.5

機能の影響:カスタマエクスペリエンス向上プログラムが機能しなくなり、匿名化されたテレメトリデータがVMwareに送信されなくなります。

【解決】
これは、vCenter Server 6.5に影響する既知の問題です。

この問題は、VMware Downloadsの vCenter Server 6.5 cで解決されています。

この問題を回避するには、カスタマーエクスペリエンス向上プログラムを無効にします。

・vSphere 6.5のカスタマエクスペリエンス向上プログラムを無効にする