概要

この記事では、Microsoft Azureで実行中の仮想マシンのvSocketに影響を与える可能性がある、NVIDIA DPDKの重大な脆弱性に関する情報を議論します。 さらに、記事では顧客を保護するためにカトが取っているステップについて詳細しています。

この記事は、基本リスクスコア9.8（重大）を与えられたCVE-2022-28199に関するものです。

背景と影響

Microsoft とNIVDIAは、 /setting/CloudACMunualUpdate のファイル名パラメータを介したコマンド注入を許可する、DPDKコードに重大な脆弱性があることを発表しました。

この脆弱性は、Azureで実行されているStandard_D3_v2またはStandard_D8s_v3仮想マシンインスタンスを使用するCato vSocketサイトに影響を与える可能性があります。

カトは何をしているのですか？

カトは、CVE-2022-28199に対する保護パッチを含む更新済みのvSocketバージョンをプッシュしています。 アカウントに設定された次のメンテナンスウィンドウ中に、更新済みバージョンはvSocketサイトに自動的にインストールされるはずです。 次のバージョンまたはそれ以上でvSocketsが実行されていることを確認してください:

• v13 - バージョン 13.0.15348
• v14 - バージョン 14.0.15342
• v15 - バージョン 15.0.15345

質問がありますか？ サポートにお問合わせください。

何をする必要がありますか？

vSocket のパッチ管理バージョンへの更新は自動的に行われることが期待されており、ユーザー側のアクションは不要です。

アカウントの次のメンテナンスウィンドウ後、Azure vSocketサイトを確認してください － 各メジャーソケットバージョンについて、上記のマイナーバージョン（またはそれ以上）を実行していることを確認してください。

もしvSocketサイトが古いメジャーソケットバージョン（v12及びそれ以前）で実行されている場合は、サポートに連絡して新しいメジャーソケットバージョンにアップグレードしてください。