VxRail : Informations sur les environnements Log4Shell (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104) et VxRail

Apache Software Foundation a publié des informations sur un problème critique de faille de sécurité d’exécution du code distant de la bibliothèque Apache Log4j connu sous le nom de Log4Shell. Ces informations sont détaillées dans la GitHub Advisory Database (également détaillée dans CVE-2021-44228, CVE-2021-45046 et CVE-2021-4104). Cette bibliothèque est largement utilisée dans les programmes Java pour permettre la journalisation des événements réguliers et sur disque. Plusieurs composants des piles logicielles VxRail et VMware utilisent cette bibliothèque.

Dell a publié les articles de sécurité suivants relatifs à ce problème :

• DSA-2021-265 : Mise à jour de sécurité Dell EMC VxRail pour la vulnérabilité d’exécution du code distant Apache Log4j (CVE-2021-44228)
• DSN-2021-007 : Réponse de Dell à la faille de sécurité relative à l’exécution du code distant Apache Log4j

VMware a publié plusieurs articles relatifs à ses produits dans :

• Bulletin d’informations de sécurité VMware VMSA-2021-0028
• VMSA-2021-0028 : Questions et réponses
• Script Python pour automatiser les étapes de contournement de la faille de sécurité VMSA-2021-0028 sur vCenter Server Appliance (87088)
• Contournement des instructions pour résoudre la vulnérabilité CVE-2021-44228 dans VMware Cloud Foundation (87095)

Les informations suivantes décrivent le problème et son impact sur les versions de VxRail.


 

Impact sur les versions de VxRail

Plusieurs composants de la pile logicielle VxRail (VxRail Manager et VMware vSphere) sont affectés.

État du problème dans les versions actuelles de VxRail :

• Ce problème a été résolu dans le logiciel de package VxRail 7.0.320
• Ce problème a été résolu dans la version logicielle 4.7.541 de l’Appliance VxRail
• Ce problème a été résolu dans la version logicielle 4.5.471 de l’Appliance VxRail

Remarque : Les anciennes versions de VxRail, telles que la version logicielle 4.0.xxx de l’appliance VxRail, sont également concernées.
 

Environnements VxRail avec vCenter déployé ou géré par VxRail

VMware a publié une solution de contournement pour vCSA (vCenter Server Appliance). Vous trouverez des informations sur cette solution de contournement dans l’article VMSA-2021-0028 .

 

Environnements VxRail avec vCenter géré par le client/externe ou d’autres composants et produits VMware

Pour les vCenter externes ou gérés par le client, reportez-vous à l’article VMware VMSA-2021-0028 pour plus d’informations sur les solutions de contournement et autres mesures correctives.
Les clients peuvent mettre en œuvre des solutions de contournement ou des mesures correctives recommandées par VMware dans ces articles, le cas échéant.

Note: Dans certains cas, les versions ESXi doivent être mises à niveau avant la mise à niveau de vCenter vers la version 7.0u3c ou une version ultérieure. Pour plus d’informations, consultez l’article suivant :

• Dell EMC VxRail : La mise à niveau de vCenter externe vers la version 7.0 U3c ou une version supérieure échoue lors de la vérification préalable car les hôtes ne sont pas mis à niveau en premier

Si vous avez besoin d’aide avec un vCenter non géré par VxRail, contactez VMware pour obtenir de l’aide. Pour les autres composants VxRail, contactez le support Dell pour obtenir de l’aide.
Pour les produits VMware en dehors de VxRail, contactez VMware pour obtenir de l’aide.

Remarque : VMware a fourni un script pour automatiser toutes les modifications nécessaires à l’implémentation des solutions de contournement dans vCenter Server Appliance (vCSA). Pour les environnements VxRail 4.5/4.7, exécutez d’abord le script sur le contrôleur PSC (Platform Service Controller), puis sur l’appliance vCSA. Les deux appliances doivent implémenter la solution de contournement. Pour les solutions de contournement avec d’autres produits VMware, voir VMSA-2021-0028 ci-dessus :

• Script Python pour automatiser les étapes de contournement de la faille de sécurité VMSA-2021-0028 sur vCenter Server Appliance (87088)

Impact sur VMware Cloud Foundation sur Dell VxRail

Les mises à niveau de VMware Cloud Foundation sont effectuées dans l’interface de gestion du cycle de vie de SDDC Manager.

État du problème dans les versions actuelles de VMware Cloud Foundation sur Dell VxRail :

• Ce problème est résolu dans VMware Cloud Foundation 3.11
• Ce problème est résolu dans VMware Cloud Foundation 4.4

Pour plus d’informations sur ce problème dans VCF, reportez-vous à l’article VMware suivant :

• Contournement des instructions pour résoudre la vulnérabilité CVE-2021-44228 dans VMware Cloud Foundation (87095)

Impact sur les applications et les services exécutés dans les machines virtuelles.

Toutes les mesures correctives effectuées sur VxRail ou les composants VMware associés protègent ces composants contre la faille de sécurité.
Il ne corrige pas les applications ou les services s’exécutant dans les machines virtuelles (VM) qui peuvent être exposées à la vulnérabilité d’exécution du code distant de la bibliothèque Apache Log4j.

Dell Technologies recommande de vérifier auprès de leurs fournisseurs d’applications/logiciels les services s’exécutant sur les machines virtuelles pour vous assurer qu’ils ne sont pas affectés.
Toutes les applications ou tous les services affectés dans les machines virtuelles doivent être corrigés conformément à la documentation de votre fournisseur de logiciels ou aux étapes de correction.