VMware ESXiの脆弱性(CVE-2025-22224、CVE-2025-22225、CVE-2025-22226)対応まとめ
脆弱性の概要
- CVE-2025-22224:
- TOCTOU(Time-of-Check Time-of-Use)の脆弱性
- 悪用されると、ローカルの管理者権限を持つ攻撃者によって、コードが実行される可能性
- CVE-2025-22225:
- VMXプロセスにおける権限を利用し、サンドボックスを回避して任意の書き込みが可能となる脆弱性
- CVE-2025-22226:
- HGFS(ホストゲストファイルシステム)における境界外読み込みの脆弱性
- 悪用されると、情報漏えいに繋がる可能性
影響を受けるESXiとバージョン
- VMware ESXi 8.0
- VMware ESXi 7.0
修正バージョン
- ESXi 8.0U3d 24585383 Release Date: 03/04/2025
- ESXi 8.0U2d 24585300 Release Date: 03/04/2025
- ESXi 7.0U3s 24585291 Release Date: 03/04/2025
対策
- 修正パッチの適用(アップデート)
パッチのダウンロードURL
- ESXi 8.0U3d Release Date: 03/04/2025
https://support.broadcom.com/web/ecx/solutiondetails?patchId=5773
- ESXi 8.0U2d Release Date: 03/04/2025
https://support.broadcom.com/web/ecx/solutiondetails?patchId=5772
- ESXi 7.0U3s Release Date: 03/04/2025
https://support.broadcom.com/web/ecx/solutiondetails?patchId=5771
ESXiへのパッチ適用手順
1. 事前準備
- バックアップ:
- 万が一の事態に備え、ESXiホストおよび仮想マシンのバックアップを取得します。
- メンテナンスモードへの移行:
- 仮想マシンをすべて停止または移行し、ESXiホストをメンテナンスモードに移行します。
- SSHの有効化:
- ESXiホストへのSSH接続を有効にします。
- パッチファイルのアップロード:
- ダウンロードしたパッチファイルを、データストアなどのESXiホストからアクセス可能な場所にアップロードします。
2. パッチ適用
こちらの記事も参考にしてください。
- SSH接続:
- SSHクライアントを使用して、ESXiホストに接続します。
- パッチ適用コマンドの実行:
esxcli software profile updateコマンドを使用して、パッチを適用します。この際、パッチファイルのパスと、適用するプロファイル名を指定します。- 例:
esxcli software profile update -d /vmfs/volumes/データストア名/パッチファイル名.zip -p プロファイル名
- 再起動:
- パッチ適用後、ESXiホストを再起動します。
3. 後処理
- メンテナンスモードの解除:
- ESXiホストの再起動後、メンテナンスモードを解除します。
- 仮想マシンの起動:
- 仮想マシンを起動し、正常に動作することを確認します。
- バージョンの確認:
vmware -vコマンドなどで、ESXiのバージョンが更新されたことを確認します。
- SSHの無効化(推奨):
- セキュリティのため、SSH接続を無効にします。
注意点:
- パッチ適用前に、必ずVMwareのドキュメントやリリースノートを確認し、最新の情報を参照してください。
- パッチ適用作業は、慎重に行う必要があります。誤った操作を行うと、システムに深刻な影響を与える可能性があります。
- ネットワーク環境によっては、パッチのダウンロードやアップロードに時間がかかる場合があります。