製品・ソフトウェアに関する情報

JVN脆弱性詳細

VMware ESX および ESXi において任意のファイルにアクセス可能な問題

Title	VMware ESX および ESXi において任意のファイルにアクセス可能な問題
Summary	VMware ESX および ESXi には、仮想マシンファイル記述子の処理に問題が存在し、ESX または ESXi の任意のファイルにアクセス可能な問題が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。報告者: Shanon Olsson 氏
Possible impacts	vCenter Server において、Add New Disk または Add Existing Disk を実行できる権限を持っているユーザによって、ESX または ESXi の任意のファイルが読みとられる可能性があります。なお、開発者による VMware vCloud Director のユーザによる本脆弱性を使用した攻撃はできないとのことです。
Solution	[パッチを適用する] 開発者が提供する情報をもとにパッチを適用してください。
Publication Date	Dec. 24, 2013, midnight
Registration Date	Dec. 24, 2013, 2:01 p.m.
Last Update	Dec. 25, 2013, 1:56 p.m.

Affected System

VMware

VMware ESX 4.0 without patch ESX400-201310001

VMware ESX 4.1 without patch ESX410-201312001

VMware ESXi 4.0 without patch ESXi400-201310001

VMware ESXi 4.1 without patch ESXi410-201312001

VMware ESXi 5.0 without patch update-from-esxi5.0-5.0_update03

VMware ESXi 5.1 without patch ESXi510-201310001

VMware ESXi 5.5 without patch ESXi550-201312001

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-5973	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5973
National Vulnerability Database (NVD)
2	CVE-2013-5973	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5973

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/CWE.html#CWEnoinfo

ベンダー情報

No	Name	URL
VMware
1	VMSA-2013-0016 - VMware ESXi and ESX unauthorized file access through vCenter Server and ESX	http://www.vmware.com/security/advisories/VMSA-2013-0016.html

その他

No	Name	URL
JVN
1	JVN#13154935	http://jvn.jp/jp/JVN13154935/index.html

Change Log

No	Changed Details	Date of change
0	[2013年12月24日] 掲載 [2013年12月25日] 参考情報：National Vulnerability Database (NVD) (CVE-2013-5973) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-5973

Summary	VMware ESXi 4.0 through 5.5 and ESX 4.0 and 4.1 allow local users to read or modify arbitrary files by leveraging the Virtual Machine Power User or Resource Pool Administrator role for a vCenter Server Add Existing Disk action with a (1) -flat, (2) -rdm, or (3) -rdmp filename.
Publication Date	Dec. 24, 2013, 12:42 a.m.
Registration Date	Jan. 26, 2021, 3:46 p.m.
Last Update	Nov. 21, 2024, 10:58 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://jvn.jp/en/jp/JVN13154935/index.html
2	http://jvn.jp/en/jp/JVN13154935/index.html
3	http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000123.html
4	http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000123.html
5	http://osvdb.org/101387
6	http://osvdb.org/101387
7	http://www.securityfocus.com/archive/1/530482/100/0/threaded
8	http://www.securityfocus.com/archive/1/530482/100/0/threaded
9	http://www.securityfocus.com/bid/64491
10	http://www.securityfocus.com/bid/64491
11	http://www.securitytracker.com/id/1029529
12	http://www.securitytracker.com/id/1029529
13	http://www.vmware.com/security/advisories/VMSA-2013-0016.html	Vendor Advisory
14	http://www.vmware.com/security/advisories/VMSA-2013-0016.html	Vendor Advisory
15	https://exchange.xforce.ibmcloud.com/vulnerabilities/89938
16	https://exchange.xforce.ibmcloud.com/vulnerabilities/89938

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html