VxRail: Informacje na temat środowisk Log4Shell (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104) i VxRail

Apache Software Foundation opublikowała informacje na temat krytycznej luki w zabezpieczeniach zdalnego wykonania kodu biblioteki Apache Log4j, znanej jako Log4Shell. Jest to szczegółowo opisane w doradczej bazie danych GitHub (opisano również w CVE-2021-44228, CVE-2021-45046 i CVE-2021-4104). Biblioteka ta jest intensywnie używana w programach opartych na języku Java, aby umożliwić rejestrowanie zdarzeń regularnych i zdarzeń na dysku. W stosach oprogramowania VxRail i VMware znajduje się kilka komponentów, które korzystają z tej biblioteki.

Firma Dell opublikowała następujące artykuły dotyczące bezpieczeństwa związane z tym problemem:

• DSA-2021-265: Aktualizacja zabezpieczeń Dell EMC VxRail dla luki w zabezpieczeniach Apache Log4j umożliwiającej zdalne wykonanie kodu (CVE-2021-44228)
• DSN-2021-007: Odpowiedź firmy Dell na lukę w zabezpieczeniach Apache Log4j umożliwiającą zdalne wykonanie kodu

Firma VMware opublikowała kilka artykułów związanych ze swoimi produktami w:

• Poradnik zabezpieczeń VMware VMSA-2021-0028
• VMSA-2021-0028: Pytania i odpowiedzi
• Skrypt Python automatyzujący obejście problemu z luką w zabezpieczeniach VMSA-2021-0028 na vCenter Server Appliance (87088)
• Obejście instrukcji dotyczących rozwiązania problemu CVE-2021-44228 w VMware Cloud Foundation (87095)

Poniższe informacje opisują problem i jego wpływ na wersje VxRail.


 

Wpływ na wersje VxRail

Problem dotyczy kilku elementów stosu oprogramowania VxRail (VxRail Manager i VMware vSphere).

Stan problemu w bieżących wersjach VxRail:

• Ten problem został rozwiązany w oprogramowaniu pakietu VxRail 7.0.320
• Ten problem został rozwiązany w oprogramowaniu VxRail Appliance 4.7.541
• Ten problem został rozwiązany w oprogramowaniu VxRail Appliance 4.5.471

Uwaga: Problem dotyczy również starszych wersji VxRail, takich jak VxRail Appliance Software 4.0.xxx.
 

Środowiska VxRail z vCenter wdrożonym lub zarządzanym oprogramowaniem vCenter

Firma VMware opublikowała obejście problemu dla urządzenia vCenter Server Appliance (vCSA). Informacje na temat tego obejścia problemu można znaleźć w artykule VMSA-2021-0028 .

 

Środowiska VxRail z zarządzanym przez klienta/zewnętrznie vCenter lub innymi komponentami i produktami VMware

W przypadku systemu vCenter zarządzanego przez klienta lub zewnętrznego zapoznaj się z artykułem VMware VMSA-2021-0028 , aby uzyskać informacje na temat obejść i innych kroków naprawczych.
W razie potrzeby klienci mogą wdrożyć obejścia lub środki zaradcze zalecane przez VMware w tych artykułach.

Nuta: Istnieją scenariusze, w których przed uaktualnieniem wersji vCenter do wersji 7.0u3c lub nowszej należy uaktualnić wersję ESXi. Więcej informacji można znaleźć w następującym artykule:

• Dell EMC VxRail: Aktualizacja zewnętrznego vCenter do wersji 7.0 U3c lub nowszej kończy się niepowodzeniem podczas wstępnej kontroli, ponieważ hosty nie są najpierw uaktualnione

Jeśli wymagana jest jakakolwiek pomoc dotycząca vCenter zarządzanego przez platformę inną niż VxRail, skontaktuj się z firmą VMware, aby uzyskać pomoc. W przypadku innych elementów VxRail skontaktuj się z pomocą techniczną firmy Dell.
W przypadku produktów VMware spoza VxRail skontaktuj się z VMware, aby uzyskać pomoc.

Uwaga: Firma VMware dostarczyła skrypt umożliwiający automatyzację wszystkich zmian wymaganych do wdrożenia obejść w vCenter Server Appliance (vCSA). W przypadku środowisk VxRail 4.5/4.7 należy najpierw uruchomić skrypt na kontrolerze Platform Service Controller (PSC), a następnie na urządzeniu vCSA. Oba urządzenia muszą wdrożyć obejście. Aby zapoznać się z obejściami dotyczącymi innych produktów VMware, zobacz VMSA-2021-0028 powyżej:

• Skrypt Python automatyzujący obejście problemu z luką w zabezpieczeniach VMSA-2021-0028 na vCenter Server Appliance (87088)

Wpływ na platformę VMware Cloud Foundation na platformie Dell VxRail

Uaktualnienia VMware Cloud Foundation są wykonywane w interfejsie zarządzania cyklem eksploatacji w aplikacji SDDC Manager.

Stan problemu w bieżących wersjach VMware Cloud Foundation na Dell VxRail:

• Ten problem został rozwiązany w wersji 3.11 platformy VMware Cloud Foundation
• Ten problem został rozwiązany w wersji 4.4 platformy VMware Cloud Foundation

Aby uzyskać bardziej szczegółowe informacje na temat tego problemu w VCF, zapoznaj się z następującym artykułem VMware:

• Obejście instrukcji dotyczących rozwiązania problemu CVE-2021-44228 w VMware Cloud Foundation (87095)

Wpływ na aplikacje i usługi uruchomione w maszynach wirtualnych.

Wszelkie działania naprawcze przeprowadzone na VxRail lub powiązanych komponentach VMware chronią te elementy przed luką w zabezpieczeniach.
Nie koryguje aplikacji ani usług działających w maszynach wirtualnych (VM), które mogą być narażone na lukę w zabezpieczeniach biblioteki Apache Log4j umożliwiającą zdalne wykonanie kodu.

Firma Dell Technologies zaleca sprawdzenie u dostawców aplikacji/oprogramowania usług uruchomionych na maszynach wirtualnych, aby upewnić się, że nie ma to wpływu na te problemy.
Wszystkie aplikacje lub usługi, których dotyczy problem na maszynach wirtualnych, muszą zostać skorygowane zgodnie z dokumentacją dostawcy oprogramowania lub krokami korygowania.