VxRail:Log4Shell (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104) 和 VxRail 環境的相關資訊
Summary: 本文概述 VxRail 工程部門針對 Apache Log4j 遠端代碼執行漏洞問題 (稱為 Log4Shell) 的反應。這在 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-4104 (Dell 文章 DSN-2021-007,VMware 文章 VMSA-2021-0028) 中有說明
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Apache 軟體基金會已發佈有關 Apache Log4j 程式庫遠端程式碼執行漏洞 (稱為 Log4Shell) 的相關資訊。GitHub 諮詢資料庫 (CVE-2021-44228、CVE-2021-45046 和 CVE-2021-4104 中也有詳細說明)。該庫在基於 Java 的程式中大量使用,以允許將常規和事件記錄到磁碟。VxRail 和 VMware 軟體堆疊中有好幾個元件會使用此程式庫。
Dell 發表了以下與此問題相關的安全性文章:
- DSA-2021-265:Dell EMC VxRail 安全性更新,適用於 Apache Log4j 遠端代碼執行弱點 (CVE-2021-44228)
- DSN-2021-007:Dell 對 Apache Log4j 遠端代碼執行漏洞的回應
VMware 發佈多篇與其產品相關的文章:
- VMware 安全性諮詢 VMSA-2021-0028
- VMSA-2021-0028:問題與答案
- 在 vCenter Server Appliance 上自動化 VMSA-2021-0028 漏洞因應措施步驟的 Python 指令檔 (87088)
- 因應措施說明,以解決 VMware Cloud Foundation 中的 CVE-2021-44228 (87095)
下列資訊說明此問題,以及其對 VxRail 版本有何影響。
對 VxRail 版本的影響
VxRail 軟體堆疊中的多個元件 (VxRail Manager 和 VMware vSphere) 受到影響。
目前 VxRail 版本的問題狀態:
- 此問題已在 VxRail 套件軟體 7.0.320 中解決
- 此問題已在 VxRail Appliance 軟體 4.7.541 中解決
- 此問題已在 VxRail Appliance 軟體 4.5.471 中解決
注意:舊版 VxRail Appliance Software 4.0.xxx 也會受到影響。
使用 VxRail 部署或管理的 vCenter 之 VxRail 環境
VMware 已發佈 vCenter Server Appliance (vCSA) 的因應措施。如需此因應措施的相關資訊,請參閱 VMSA-2021-0028 文章。
使用客戶/外部管理的 vCenter 或其他 VMware 元件和產品的 VxRail 環境
若為客戶管理或外部 vCenter,請參閱 VMware VMSA-2021-0028 文章,以取得因應措施和其他補救步驟的相關資訊。
客戶可視需要實施 VMware 在這些文章中建議的因應措施或補救措施。
便條:在某些情況下,必須先升級 ESXi 版本,才能將 vCenter 版本升級至 7.0u3c 或更新版本。如需更多資訊,請參閱下列文章:
如果需要非 VxRail 管理 vCenter 的任何協助,請聯絡 VMware 以取得協助。如需其他 VxRail 元件,請聯絡 Dell 支援以取得協助。
如果是 VxRail 以外的 VMware 產品,請聯絡 VMware 以取得協助。
注意:VMware 提供的指令檔可自動化在 vCenter Server Appliance (vCSA) 中實作因應措施所需的所有變更。對於 VxRail 4.5/4.7 環境,請先在平台服務控制器 (PSC) 上執行指令檔,然後執行 vCSA 裝置,這兩個裝置都必須實作因應措施。如需其他 VMware 產品的因應措施,請參閱上述 VMSA-2021-0028:
對 VMware Cloud Foundation on Dell VxRail 的影響
VMware Cloud Foundation 升級可在 SDDC Manager 的生命週期管理介面中執行。
目前 VMware Cloud Foundation on Dell VxRail 版本的問題狀態:
- 此問題已在 VMware Cloud Foundation 3.11 中解決
- 此問題已在 VMware Cloud Foundation 4.4 中解決
如需有關 VCF 中此問題的詳細資訊,請參閱下列 VMware 文章:
對虛擬機器中執行的應用程式和服務的影響。
在 VxRail 或相關 VMware 元件上執行的任何補救措施,均可保護這些元件不受漏洞影響。
它不會補救在虛擬機器 (VM) 內執行的應用程式或服務,這些應用程式或服務可能會暴露在 Apache Log4j 程式庫遠端程式碼執行漏洞中。
Dell Technologies 建議您與應用程式/軟體廠商確認在 VM 中執行的服務,以確保其不受影響。
VM 內受影響的任何應用程式或服務都必須根據您的軟體供應商說明文件或補救步驟進行補救。
Affected Products
VxRail, VxRail Appliance Family, VxRail Appliance Series, VxRail SoftwareArticle Properties
Article Number: 000194410
Article Type: How To
Last Modified: 24 Jan 2025
Version: 14
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.