CERTから現地時間の11月23日に脆弱性関連情報として「複数のVMware製品にOSコマンドインジェクションの脆弱性」について発表されていた問題について、その後の状況を確認してみました。
本日26日時点でとりあえず「VMware Workspace One Access」関連のページやリリースノートを見てみたのですが、セキュリティパッチリリースの情報は掲載されていませんでした。
vmwareの対応については情報がないのでいまいちわかりませんが、VMwareの対応としては次期パッチリリースの際にまとめてセキュリティパッチをリリースすることになるのかもしれません。
VMware製品にOSコマンドインジェクションの脆弱性のリスク・インパクト
CERTの発表した情報にもありますが、今回のVMware製品のOSコマンドインジェクションに対する脆弱性ですが、port8443を経由して「administrative configurator」にアクセスしてくる攻撃者が制限の無い権限でコマンドが実行できる可能性があるということですので、もし頻繁に利用していないのであればport8443へのアクセスをシャットするもしくは制限してしまうのが、取り急ぎセキュリティパッチが配布されていない現状としては有効な手段となりますので、もし概要する製品をお使いの企業・担当者の方であれば検討が必要してみてください。