VxRail: Informasjon om Log4Shell (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104) og VxRail-miljøer

Apache Software Foundation har publisert informasjon om et kritisk sikkerhetsproblem i Apache Log4j Library som kan forårsake ekstern kjøring av kode kalt Log4Shell. Dette er detaljert i GitHub Advisory Database (også detaljert i CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104). Dette biblioteket er mye brukt i Java-baserte programmer for å tillate logging av vanlige og hendelser til disk. Det finnes flere komponenter i VxRail- og VMware-programvarestakkene som bruker dette biblioteket.

Dell publiserte følgende sikkerhetsartikler relatert til dette problemet:

• DSA-2021-265: Dell EMC VxRail-sikkerhetsoppdatering for sikkerhetsproblem med ekstern kodekjøring i Apache Log4j (CVE-2021-44228)
• DSN-2021-007: Dell-respons på sikkerhetsproblem med ekstern kodekjøring i Apache Log4j

VMware publiserte flere artikler relatert til produktene sine i:

• VMware-sikkerhetsveiledning VMSA-2021-0028
• VMSA-2021-0028: Spørsmål og svar
• Python-skript for å automatisere de midlertidige løsningstrinnene for VMSA-2021-0028-sikkerhetsproblemet på vCenter Server Appliance (87088)
• Omgå instruksjoner for å håndtere CVE-2021-44228 i VMware Cloud Foundation (87095)

Følgende informasjon beskriver problemet og hvordan det påvirker VxRail-utgivelser.


 

Innvirkning på VxRail-utgivelser

Flere komponenter i VxRail-programvarestabelen (VxRail Manager og VMware vSphere) er berørt.

Status for problemet i gjeldende VxRail-versjoner:

• Dette problemet er løst i VxRail Package Software 7.0.320
• Dette problemet er løst i VxRail Appliance Software 4.7.541
• Dette problemet er løst i VxRail Appliance Software 4.5.471

Merk: Eldre VxRail-versjoner, for eksempel VxRail Appliance Software Version, 4.0.xxx er også berørt.
 

VxRail-miljøer med VxRail implementert eller administrert vCenter

VMware publiserte en midlertidig løsning for vCenter Server Appliance (vCSA). Du finner informasjon om denne midlertidige løsningen i VMSA-2021-0028-artikkelen .

 

VxRail-miljøer med kunde/eksternt administrert vCenter eller andre VMware-komponenter og -produkter

For kundeadministrert eller ekstern vCenter ser du VMware VMSA-2021-0028-artikkelen for informasjon om midlertidige løsninger og andre utbedringstrinn.
Kunder kan implementere midlertidige løsninger eller utbedringer anbefalt av VMware i disse artiklene etter behov.

Notat: Det finnes scenarier der ESXi-versjoner må oppgraderes før du oppgraderer vCenter-versjonen til 7.0u3c eller nyere. Se følgende artikkel hvis du vil ha mer informasjon:

• Dell EMC VxRail: Oppgradere eksternt vCenter til 7.0 U3c eller høyere mislykkes ved forhåndskontroll på grunn av at verter ikke oppgraderes først

Hvis du trenger hjelp med et vCenter som ikke er VxRail-administrert, kan du kontakte VMware for å få hjelp. For andre VxRail-komponenter kan du kontakte Dells kundestøtte for hjelp.
For VMware-produkter utenfor VxRail må du kontakte VMware for å få hjelp.

Merk: VMware leverte et skript for å automatisere alle endringene som kreves for å implementere de midlertidige løsningene i vCenter Server Appliance (vCSA). For VxRail 4.5/4.7-miljøer kjører du skriptet først på Platform Service Controller (PSC) og deretter på vCSA-apparatet. Begge apparatene må implementere løsningen. Hvis du vil finne midlertidige løsninger med andre VMware-produkter, kan du se VMSA-2021-0028 ovenfor:

• Python-skript for å automatisere de midlertidige løsningstrinnene for VMSA-2021-0028-sikkerhetsproblemet på vCenter Server Appliance (87088)

Innvirkning på VMware Cloud Foundation på Dell VxRail

Oppgraderinger av VMware Cloud Foundation utføres i grensesnittet for livssyklusadministrasjon i SDDC Manager.

Status for problemet i gjeldende VMware Cloud Foundation på Dell VxRail-utgivelser:

• Dette problemet er løst i VMware Cloud Foundation 3.11
• Dette problemet er løst i VMware Cloud Foundation 4.4

Hvis du vil ha mer detaljert informasjon om dette problemet i VCF, kan du se følgende VMware-artikkel:

• Omgå instruksjoner for å håndtere CVE-2021-44228 i VMware Cloud Foundation (87095)

Innvirkning på applikasjoner og tjenester som kjører i virtuelle maskiner.

Alle utbedringer som utføres på VxRail eller tilknyttede VMware-komponenter, beskytter disse komponentene mot sikkerhetsproblemet.
Det utbedrer ikke programmer eller tjenester som kjører i virtuelle maskiner (VM-er), som kan være utsatt for sikkerhetsproblemet med ekstern kodekjøring i Apache Log4j-biblioteket.

Dell Technologies anbefaler at du spør deres program-/programvareleverandører om tjenester som kjører i virtuelle maskiner, for å sikre at de ikke påvirkes.
Alle applikasjoner eller tjenester som påvirkes i VM-er, må utbedres i henhold til programvareleverandørens dokumentasjon eller utbedringstrinn.