VxRail: Informace o prostředích Log4Shell (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104) a VxRail

Nadace Apache Software Foundation zveřejnila informace o kritickém problému s chybou zabezpečení vzdáleného spouštění kódu knihovny Apache Log4j známou jako Log4Shell. To je podrobně popsáno v databázi doporučení GitHub (také CVE-2021-44228, CVE-2021-45046 a CVE-2021-4104). Tato knihovna se hojně používá v programech založených na jazyce Java, aby umožňovala protokolování běžných událostí a událostí na disk. Tuto knihovnu využívá několik komponent v softwarových sadách VxRail a VMware.

Společnost Dell publikovala následující články o zabezpečení související s tímto problémem:

• DSA-2021-265: Aktualizace zabezpečení Dell EMC VxRail pro vzdálené spouštění kódu chyby Apache Log4j (CVE-2021-44228)
• DSN-2021-007: Reakce společnosti Dell na chybu zabezpečení vzdáleného spouštění kódu Apache Log4j

Společnost VMware publikovala několik článků týkajících se jejích produktů v článku:

• Bezpečnostní doporučení VMware VMSA-2021-0028
• VMSA-2021-0028: Otázky a odpovědi
• Skript Python pro automatizaci zástupného řešení chyby zabezpečení VMSA-2021-0028 v zařízení vCenter Server Appliance (87088)
• Pokyny k obcházení problémů CVE-2021-44228 v systému VMware Cloud Foundation (87095)

Následující informace popisují problém a jeho dopad na verze VxRail.


 

Dopad na verze VxRail

Problém se týká několika komponent v softwarovém zásobníku VxRail (VxRail Manager a VMware vSphere).

Stav problému v aktuálních verzích VxRail:

• Tento problém byl vyřešen ve verzi softwaru balíčku VxRail 7.0.320
• Tento problém byl vyřešen ve verzi 4.7.541 nástroje VxRail Appliance Software
• Tento problém byl vyřešen ve verzi 4.5.471 softwaru zařízení VxRail

Poznámka: Dotčeny jsou také starší verze VxRail, například VxRail Appliance Software verze 4.0.xxx.
 

Prostředí VxRail s nasazeným nebo spravovaným nástrojem vCenter VxRail

Společnost VMware zveřejnila zástupné řešení pro zařízení vCenter Server Appliance (vCSA). Informace o tomto zástupném řešení naleznete v článku VMSA-2021-0028 .

 

Prostředí VxRail se zákazníkem/externím spravovaným vCenter nebo jinými komponentami a produkty VMware

Informace o alternativních řešeních a dalších krocích nápravy najdete v článku VMware VMSA-2021-0028 v případě nástroje vCenter spravovaného zákazníkem.
Zákazníci mohou podle potřeby implementovat zástupná řešení nebo opravy doporučené společností VMware v těchto článcích.

Poznámka: Existují scénáře, kdy je nutné upgradovat verze ESXi před upgradem verze vCenter na verzi 7.0u3c nebo novější. Další informace najdete v následujícím článku:

• Dell EMC VxRail: Upgrade externího nástroje vCenter na verzi 7.0 U3c nebo vyšší selže během předběžné kontroly, protože neproběhl nejprve upgrade hostitelů

Pokud potřebujete pomoc s nástrojem vCenter spravovaným jiným systémem než VxRail, požádejte o pomoc společnost VMware. Ohledně dalších komponent VxRail se obraťte na podporu společnosti Dell.
V případě produktů VMware mimo VxRail se obraťte na společnost VMware a požádejte o pomoc.

Poznámka: Společnost VMware poskytla skript pro automatizaci všech změn potřebných k implementaci zástupných řešení v zařízení vCenter Server Appliance (vCSA). V prostředích VxRail 4.5/4.7 spusťte skript nejprve na řadiči PSC (Platform Service Controller) a poté na zařízení vCSA. Zástupné řešení musí implementovat obě zařízení. Zástupná řešení s jinými produkty VMware naleznete v článku VMSA-2021-0028 výše:

• Skript Python pro automatizaci zástupného řešení chyby zabezpečení VMSA-2021-0028 v zařízení vCenter Server Appliance (87088)

Dopad na systém VMware Cloud Foundation na platformě Dell VxRail

Upgrady VMware Cloud Foundation se provádějí v rozhraní Lifecycle Management v nástroji SDDC Manager.

Stav problému v aktuálních verzích VMware Cloud Foundation na platformě Dell VxRail:

• Tento problém je vyřešen ve verzi VMware Cloud Foundation 3.11
• Tento problém je vyřešen ve verzi VMware Cloud Foundation 4.4

Podrobnější informace o tomto problému v VCF naleznete v následujícím článku VMware:

• Pokyny k obcházení problémů CVE-2021-44228 v systému VMware Cloud Foundation (87095)

Dopad na aplikace a služby spuštěné ve službě Virtual Machines.

Jakékoli opravy provedené na zařízení VxRail nebo souvisejících komponentách VMware chrání tyto komponenty před touto chybou zabezpečení.
Neopravuje aplikace ani služby spuštěné v rámci virtuálních počítačů (VM), které mohou být vystaveny chybě zabezpečení vzdáleného spouštění kódu knihovny Apache Log4j.

Společnost Dell Technologies doporučuje ověřit služby spuštěné ve virtuálních počítačích u dodavatelů aplikací/softwaru a ujistit se, že nejsou dotčeny.
Všechny aplikace nebo služby ovlivněné virtuálními počítači je nutné opravit podle dokumentace dodavatelů softwaru nebo kroků nápravy.