最終更新日: 2019/02/21
情報源
US-CERT Current Activity
VMware Releases Security Updates
https://www.us-cert.gov/ncas/current-activity/2019/02/15/VMware-Releases-Security-Updates
概要
複数の VMware 製品には、脆弱性があります。結果として、第三者が、コンテナを起動しているホスト上の runc を上書きし、root 権限で任意のコマンドを実行する可能性があります。
対象となる製品およびバージョンは次のとおりです。
– VMware Integrated OpenStack with Kubernetes (VIO-K) 5.x 系のバージョン
– VMware PKS (PKS) 1.2.x 系および 1.3.x 系のバージョン
– VMware vCloud Director Container Service Extension (CSE) 1.x 系のバージョン
– vSphere Integrated Containers (VIC) 1.x 系のバージョン
この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。なお、2019年2月20日現在、VIO-K 向けのパッチはまだ提供されていません。詳細は、VMware が提供する情報を参照してください。
関連文書 (英語)
VMware Security Advisories
VMSA-2019-0001.2
https://www.vmware.com/security/advisories/VMSA-2019-0001.html
引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-02-20」
https://www.jpcert.or.jp/wr/2019/wr190701.html