製品・ソフトウェアに関する情報

JVN脆弱性詳細

VMware ESX および ESXi において任意のファイルにアクセス可能な問題

タイトル	VMware ESX および ESXi において任意のファイルにアクセス可能な問題
概要	VMware ESX および ESXi には、仮想マシンファイル記述子の処理に問題が存在し、ESX または ESXi の任意のファイルにアクセス可能な問題が存在します。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。報告者: Shanon Olsson 氏
想定される影響	vCenter Server において、Add New Disk または Add Existing Disk を実行できる権限を持っているユーザによって、ESX または ESXi の任意のファイルが読みとられる可能性があります。なお、開発者による VMware vCloud Director のユーザによる本脆弱性を使用した攻撃はできないとのことです。
対策	[パッチを適用する] 開発者が提供する情報をもとにパッチを適用してください。
公表日	2013年12月24日0:00
登録日	2013年12月24日14:01
最終更新日	2013年12月25日13:56

影響を受けるシステム

VMware

VMware ESX 4.0 without patch ESX400-201310001

VMware ESX 4.1 without patch ESX410-201312001

VMware ESXi 4.0 without patch ESXi400-201310001

VMware ESXi 4.1 without patch ESXi410-201312001

VMware ESXi 5.0 without patch update-from-esxi5.0-5.0_update03

VMware ESXi 5.1 without patch ESXi510-201310001

VMware ESXi 5.5 without patch ESXi550-201312001

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-5973	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5973
National Vulnerability Database (NVD)
2	CVE-2013-5973	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5973

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/CWE.html#CWEnoinfo

ベンダー情報

No	名前	URL
VMware
1	VMSA-2013-0016 - VMware ESXi and ESX unauthorized file access through vCenter Server and ESX	http://www.vmware.com/security/advisories/VMSA-2013-0016.html

その他

No	名前	URL
JVN
1	JVN#13154935	http://jvn.jp/jp/JVN13154935/index.html

変更履歴

No	変更内容	変更日
0	[2013年12月24日] 掲載 [2013年12月25日] 参考情報：National Vulnerability Database (NVD) (CVE-2013-5973) を追加	2018年2月17日10:37

NVD脆弱性情報

CVE-2013-5973

概要	VMware ESXi 4.0 through 5.5 and ESX 4.0 and 4.1 allow local users to read or modify arbitrary files by leveraging the Virtual Machine Power User or Resource Pool Administrator role for a vCenter Server Add Existing Disk action with a (1) -flat, (2) -rdm, or (3) -rdmp filename.
公表日	2013年12月24日0:42
登録日	2021年1月26日15:46
最終更新日	2024年11月21日10:58

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	http://jvn.jp/en/jp/JVN13154935/index.html
2	http://jvn.jp/en/jp/JVN13154935/index.html
3	http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000123.html
4	http://jvndb.jvn.jp/en/contents/2013/JVNDB-2013-000123.html
5	http://osvdb.org/101387
6	http://osvdb.org/101387
7	http://www.securityfocus.com/archive/1/530482/100/0/threaded
8	http://www.securityfocus.com/archive/1/530482/100/0/threaded
9	http://www.securityfocus.com/bid/64491
10	http://www.securityfocus.com/bid/64491
11	http://www.securitytracker.com/id/1029529
12	http://www.securitytracker.com/id/1029529
13	http://www.vmware.com/security/advisories/VMSA-2013-0016.html	Vendor Advisory
14	http://www.vmware.com/security/advisories/VMSA-2013-0016.html	Vendor Advisory
15	https://exchange.xforce.ibmcloud.com/vulnerabilities/89938
16	https://exchange.xforce.ibmcloud.com/vulnerabilities/89938

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html