VxRail: Informationen zu Log4Shell (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104) und VxRail-Umgebungen

Die Apache Software Foundation hat Informationen über ein kritisches Problem in der Apache Log4j-Bibliothek bezüglich Remote-Codeausführung veröffentlicht, das als Log4Shell bekannt ist. Dies wird in der GitHub Advisory Database (auch in CVE-2021-44228, CVE-2021-45046 und CVE-2021-4104) beschrieben. Diese Bibliothek wird häufig in Java-basierten Programmen verwendet, um die Protokollierung von regulären und Ereignissen auf der Festplatte zu ermöglichen. Es gibt mehrere Komponenten in den VxRail- und VMware-Software-Stacks, die diese Bibliothek verwenden.

Dell hat die folgenden Sicherheitsartikel zu diesem Problem veröffentlicht:

• DSA-2021-265: Dell EMC VxRail-Sicherheitsupdate für die Sicherheitslücke bezüglich der Apache Log4j-Remotecodeausführung (CVE-2021-44228)
• DSN-2021-007: Antwort von Dell auf Sicherheitslücke in Apache Log4j durch Remoteausführung von Code

VMware hat mehrere Artikel zu seinen Produkten veröffentlicht in:

• VMware Sicherheitshinweis VMSA-2021-0028
• VMSA-2021-0028: Fragen und Antworten
• Python-Skript zur Automatisierung der Schritte zur Problemumgehung für die Sicherheitslücke VMSA-2021-0028 auf vCenter Server-Appliance (87088)
• Anweisungen zur Problemumgehung zur Behebung von CVE-2021-44228 in VMware Cloud Foundation (87095)

Die folgenden Informationen beschreiben das Problem und seine Auswirkungen auf VxRail-Versionen.


 

Auswirkungen auf VxRail-Versionen

Mehrere Komponenten im VxRail-Software-Stack (VxRail Manager und VMware vSphere) sind betroffen.

Status des Problems in aktuellen VxRail-Versionen:

• Dieses Problem wurde in der VxRail-Paketsoftware 7.0.320 behoben
• Dieses Problem wurde in VxRail Appliance Software 4.7.541 behoben
• Dieses Problem wurde in VxRail Appliance Software 4.5.471 behoben

Hinweis: Ältere VxRail-Versionen, wie z. B. Softwareversion 4.0.xxx der VxRail Appliance, sind ebenfalls betroffen.
 

VxRail-Umgebungen mit über VxRail bereitgestelltem oder gemanagtem vCenter

VMware hat einen Workaround für die vCenter Server Appliance (vCSA) veröffentlicht. Informationen zu diesem Workaround finden Sie im Artikel VMSA-2021-0028 .

 

VxRail-Umgebungen mit kundenseitig/extern gemanagt vCenter oder anderen VMware-Komponenten und -Produkten

Informationen zu Workarounds und anderen Korrekturschritten für vom Kunden verwaltete oder externe vCenter finden Sie im Artikel VMware VMSA-2021-0028 .
Kunden können Workarounds oder Korrekturen implementieren, die von VMware in diesen Artikeln nach Bedarf empfohlen werden.

Anmerkung: Es gibt Szenarien, in denen ESXi-Versionen aktualisiert werden müssen, bevor ein Upgrade der vCenter-Version auf 7.0u3c oder höher durchgeführt wird. Weitere Informationen finden Sie im folgenden Artikel:

• Dell EMC VxRail: Das Upgrade von externem vCenter auf 7.0 U3c oder höher schlägt bei der Vorabprüfung fehl, da Hosts nicht zuerst aktualisiert werden

Wenn Unterstützung bei einem nicht von VxRail gemanagten vCenter erforderlich ist, wenden Sie sich an VMware, um Unterstützung zu erhalten. Wenden Sie sich für andere VxRail-Komponenten an den Dell Support, um Hilfe zu erhalten.
Wenden Sie sich für VMware-Produkte außerhalb von VxRail an VMware, um Unterstützung zu erhalten.

Hinweis: VMware hat ein Skript bereitgestellt, um alle Änderungen zu automatisieren, die für die Implementierung der Workarounds in der vCenter Server Appliance (vCSA) erforderlich sind. Führen Sie für VxRail 4.5/4.7-Umgebungen das Skript zuerst auf dem Platform Service Controller (PSC) und dann auf der vCSA-Appliance aus. Beide Appliances müssen den Workaround implementieren. Workarounds mit anderen VMware-Produkten finden Sie unter VMSA-2021-0028 oben:

• Python-Skript zur Automatisierung der Schritte zur Problemumgehung für die Sicherheitslücke VMSA-2021-0028 auf vCenter Server-Appliance (87088)

Auswirkungen auf VMware Cloud Foundation auf Dell VxRail

VMware Cloud Foundation-Upgrades werden in der Lebenszyklusmanagement-Schnittstelle in SDDC Manager durchgeführt.

Status des Problems in aktuellen Versionen von VMware Cloud Foundation auf Dell VxRail:

• Dieses Problem wurde in VMware Cloud Foundation 3.11 behoben.
• Dieses Problem wurde in VMware Cloud Foundation 4.4 behoben.

Weitere Informationen zu diesem Problem in VCF finden Sie im folgenden VMware-Artikel:

• Anweisungen zur Problemumgehung zur Behebung von CVE-2021-44228 in VMware Cloud Foundation (87095)

Auswirkungen auf Anwendungen und Services, die auf virtuellen Maschinen ausgeführt werden.

Alle Korrekturen, die an VxRail oder zugehörigen VMware-Komponenten durchgeführt werden, schützen diese Komponenten vor der Sicherheitslücke.
Anwendungen oder Services, die auf virtuellen Maschinen (VMs) ausgeführt werden, die möglicherweise der Sicherheitslücke bezüglich Remotecodeausführung in der Apache Log4j-Bibliothek ausgesetzt sind, werden nicht korrigiert.

Dell Technologies empfiehlt, sich bei seinen Anwendungs-/Softwareanbietern nach Services zu erkundigen, die auf VMs ausgeführt werden, um sicherzustellen, dass sie nicht beeinträchtigt sind.
Alle Anwendungen oder Services, die von VMs betroffen sind, müssen gemäß der Dokumentation oder den Korrekturschritten Ihres Softwareanbieters korrigiert werden.