VxRail: Tietoja Log4Shell- (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104)- ja VxRail-ympäristöistä

Apache Software Foundation on julkaissut tietoja kriittisestä Apache Log4j -kirjaston etäkoodin suoritushaavoittuvuudesta, joka tunnetaan nimellä Log4Shell. Tämä on kuvattu GitHubin neuvoa-antavassa tietokannassa (kuvattu myös CVE-2021-44228, CVE-2021-45046 ja CVE-2021-4104). Tätä kirjastoa käytetään paljon Java-pohjaisissa ohjelmissa, jotta säännölliset ja tapahtumat voidaan kirjata levylle. VxRail- ja VMware-ohjelmistopinoissa on useita osia, jotka käyttävät tätä kirjastoa.

Dell on julkaissut seuraavat tähän ongelmaan liittyvät tietoturva-artikkelit:

• DSA-2021-265: Dell EMC VxRail -tietoturvapäivitys liittyen Apache Log4j -etäkoodin suoritushaavoittuvuuteen (CVE-2021-44228)
• DSN-2021-007: Dellin vastaus Apache Log4j -etäkoodin suoritushaavoittuvuuteen

VMware julkaisi useita tuotteisiinsa liittyviä artikkeleita seuraavissa:

• VMware-tietoturvatiedote VMSA-2021-0028
• VMSA-2021-0028: Kysymyksiä ja vastauksia
• Python-komentosarja, joka automatisoi vCenter Server Appliancen (87088) VMSA-2021-0028-haavoittuvuuden kiertotavat
• Kiertotapa VMware Cloud Foundationin haavoittuvuuden CVE-2021-44228 korjaamiseen (87095)

Seuraavassa kerrotaan ongelmasta ja sen vaikutuksesta VxRail-julkaisuihin.


 

Vaikutus VxRail-julkaisuihin

Ongelma

koskee useita VxRail-ohjelmistopinon osia (VxRail Manager ja VMware vSphere).Ongelman tila nykyisissä VxRail-versioissa:

• Tämä ongelma on korjattu VxRail Package Software 7.0.320 -ohjelmistossa
• Tämä ongelma on ratkaistu VxRail Appliance Software 4.7.541 -versiossa
• Tämä ongelma on korjattu VxRail Appliance Software 4.5.471 -versiossa

Huomautus: Tämä vaikuttaa myös vanhempiin VxRail-versioihin, kuten VxRail Appliance Software -julkaisuun 4.0.xxx.
 

VxRail-ympäristöt, joissa VxRail on otettu käyttöön tai hallittu vCenter

VMware julkaisi vCenter Server Appliancen (vCSA) kiertotavan. Tietoja tästä kiertotavasta on artikkelissa VMSA-2021-0028 .

 

VxRail-ympäristöt, joissa on asiakas/ulkoinen hallittu vCenter tai muita VMwaren komponentteja ja tuotteita

Tietoja asiakkaan hallinnoimista tai ulkoisista vCenteristä on artikkelissa VMware VMSA-2021-0028 , jossa on tietoja kiertotavoista ja muista korjaustoimista.
Asiakkaat voivat tarvittaessa käyttää VMwaren suosittelemia kiertotapoja tai korjauksia kyseisissä artikkeleissa.

Muistiinpano: Joissakin tilanteissa ESXi-versiot on päivitettävä, ennen kuin vCenter-versio päivitetään versioon 7.0u3c tai sitä uudempaan versioon. Lisätietoja on seuraavassa artikkelissa:

• Dell EMC VxRail: Ulkoisen vCenterin päivittäminen versioon 7.0 U3c tai uudempaan epäonnistuu esitarkistuksessa, koska isäntiä ei päivitetä ensin

Jos tarvitaan apua muun kuin VxRailin hallitseman vCenterin kanssa, ota yhteyttä VMwareen. Jos tarvitset muita VxRail-komponentteja, ota yhteys Dellin tukeen.
Jos kyse on VxRailin ulkopuolisista VMware-tuotteista, pyydä apua VMwarelta.

Huomautus: VMware on toimittanut komentosarjan, joka automatisoi kaikki muutokset, joita vCenter Server Appliancen (vCSA) kiertotapojen käyttöönotto edellyttää. VxRail 4.5-/4.7-ympäristöissä suoritetaan komentosarja ensin Platform Service Controllerissa (PSC) ja sen jälkeen vCSA-laitteessa, joten kiertotapa on otettava käyttöön molemmissa laitteissa. Katso kiertotapa muiden VMware-tuotteiden kanssa artikkelista VMSA-2021-0028 yllä:

• Python-komentosarja, joka automatisoi vCenter Server Appliancen (87088) VMSA-2021-0028-haavoittuvuuden kiertotavat

Vaikutus Dell VxRailin VMware Cloud Foundationiin

VMware Cloud Foundation -päivitykset tehdään SDDC Managerin Lifecycle Management -käyttöliittymässä.

Ongelman tila nykyisissä VMware Cloud Foundation -ratkaisuissa Dell VxRail -versioissa:

• Tämä ongelma on korjattu VMware Cloud Foundation 3.11 -versiossa
• Tämä ongelma on korjattu VMware Cloud Foundation 4.4 -versiossa

Lisätietoja tästä VCF-ongelmasta on seuraavassa VMware-artikkelissa:

• Kiertotapa VMware Cloud Foundationin haavoittuvuuden CVE-2021-44228 korjaamiseen (87095)

Vaikutus virtuaalikoneissa toimiviin sovelluksiin ja palveluihin.

VxRailille tai siihen liittyville VMware-komponenteille tehdyt korjaukset suojaavat kyseisiä osia haavoittuvuudelta.
Se ei korjaa virtuaalikoneissa (VM) käynnissä olevia sovelluksia tai palveluita, jotka voivat altistua Apache Log4j -kirjaston etäkoodin suoritushaavoittuvuudelle.

Dell Technologies suosittelee tarkistamaan virtuaalikoneissa suoritettavia palveluita sovellus-/ohjelmistotoimittajalta ja varmistamaan, että ne eivät vaikuta niihin.
Kaikki sovellukset ja palvelut, joihin virtuaalikoneet vaikuttavat, on korjattava ohjelmistotoimittajan dokumentaation tai korjausvaiheiden mukaisesti.