VxRail: Oplysninger om Log4Shell- (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104) og VxRail-miljøer

Apache Software Foundation har offentliggjort oplysninger om et kritisk Apache Log4j Library Remote Code Execution Vulnerability-problem kendt som Log4Shell. Dette er beskrevet i GitHubs rådgivende database (også detaljeret i CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104). Dette bibliotek bruges meget i Java-baserede programmer for at gøre det muligt at logge regelmæssige hændelser og hændelser til disken. Der er flere komponenter i VxRail- og VMware-softwarestakkene, som bruger dette bibliotek.

Dell har udgivet følgende sikkerhedsartikler om dette problem:

• DSA-2021-265: Dell EMC VxRail-sikkerhedsopdatering af Apache Log4j-sårbarheden i forbindelse med udførelse af fjernkode (CVE-2021-44228)
• DSN-2021-007: Dells reaktion på sikkerhedsrisiko ved fjernudførelse af kode i Apache Log4j

VMware offentliggjorde flere artikler relateret til deres produkter i:

• VMware-sikkerhedsmeddelelse VMSA-2021-0028
• VMSA-2021-0028: Spørgsmål & svar
• Python-script til automatisering af løsningstrinnene i en VMSA-2021-0028-sårbarhed på vCenter Server-enhed (87088)
• Vejledning til at afhjælpe CVE-2021-44228 i VMware Cloud Foundation (87095)

Følgende oplysninger beskriver problemet, og hvordan det påvirker VxRail-udgivelser.


 

Indvirkning på VxRail-udslip

Flere komponenter i VxRail-softwarestakken (VxRail Manager og VMware vSphere) er berørt.

Status for problemer i aktuelle VxRail-udgivelser:

• Dette problem er løst i VxRail-pakkesoftware 7.0.320
• Dette problem er løst i VxRail Appliance Software 4.7.541
• Dette problem er løst i VxRail Appliance Software 4.5.471

Bemærk: Ældre VxRail-udgivelser som f.eks. VxRail Appliance Software-versionen 4.0.xxx påvirkes også.
 

VxRail-miljøer med VxRail implementeret eller administreret vCenter

VMware har udgivet en løsning til vCenter Server Appliance (vCSA). Oplysninger om denne løsning kan findes i artiklen VMSA-2021-0028 .

 

VxRail-miljøer med kunde/eksternt administreret vCenter eller andre VMware-komponenter og -produkter

For kundeadministreret eller eksternt vCenter henvises til artiklen VMware VMSA-2021-0028 for at få oplysninger om løsninger og andre afhjælpningstrin.
Kunderne kan implementere de løsninger eller afhjælpninger, der anbefales af VMware, i disse artikler efter behov.

Seddel: Der er scenarier, hvor ESXi-versioner skal opgraderes, før vCenter-versionen opgraderes til 7.0u3c eller nyere. Se følgende artikel for at få flere oplysninger:

• Dell EMC VxRail: Opgradering af eksternt vCenter til 7.0 U3c eller derover mislykkes ved forhåndskontrol, da værter ikke opgraderes først

Hvis der er behov for hjælp med et vCenter, der ikke er VxRail-administreret, skal du kontakte VMware for at få hjælp. Hvis du har brug for andre VxRail-komponenter, skal du kontakte Dell Support for at få hjælp.
For VMware-produkter uden for VxRail skal du kontakte VMware for at få hjælp.

Bemærk: VMware leverede et script til automatisering af alle de ændringer, der var nødvendige for at implementere løsningerne i vCenter Server Appliance (vCSA). I VxRail 4.5/4.7-miljøer skal scriptet først køres på PSC'en (Platform Service Controller) og derefter vCSA-enheden. Begge enheder skal implementere den midlertidige løsning. Du kan finde løsninger med andre VMware-produkter i VMSA-2021-0028 ovenfor:

• Python-script til automatisering af løsningstrinnene i en VMSA-2021-0028-sårbarhed på vCenter Server-enhed (87088)

Indvirkning på VMware Cloud Foundation på Dell VxRail

VMware Cloud Foundation-opgraderinger udføres i Lifecycle Management-grænsefladen i SDDC Manager.

Status for problem i aktuelle VMware Cloud Foundation på Dell VxRail-udgivelser:

• Dette problem er løst i VMware Cloud Foundation 3.11
• Dette problem er løst i VMware Cloud Foundation 4.4

Du kan finde mere detaljerede oplysninger om dette problem i VCF i følgende VMware-artikel:

• Vejledning til at afhjælpe CVE-2021-44228 i VMware Cloud Foundation (87095)

Indvirkning på programmer og tjenester, der kører i virtuelle maskiner.

Alle afhjælpninger, der udføres på VxRail eller tilknyttede VMware-komponenter, beskytter disse komponenter mod sårbarheden.
Det afhjælper ikke applikationer eller tjenester, der kører i virtuelle maskiner (VM'er), som kan blive udsat for Apache Log4j Library Remote Code Execution Vulnerability.

Dell Technologies anbefaler, at du kontakter deres program-/softwareleverandører for at få adgang til services, der kører i VM er, for at sikre, at de ikke påvirkes.
Alle programmer eller tjenester, der påvirkes i VM'er, skal afhjælpes i henhold til softwareleverandørens dokumentation eller afhjælpningstrin.