「VxRail：Log4Shell (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104)およびVxRail環境に関する情報

Apache Software Foundationは、Apache Log4jライブラリーのリモート コード実行の脆弱性に関する重大な問題(Log4Shell)に関する情報を公開しています。これについては、 GitHub Advisory Database で詳しく説明されています (CVE-2021-44228、CVE-2021-45046、 CVE-2021-4104 にも詳述されています)。このライブラリは、通常のイベントとイベントをディスクに記録できるようにするために、Javaベースのプログラムで頻繁に使用されます。このライブラリーを使用するVxRailおよびVMwareソフトウェア スタックには、いくつかのコンポーネントがあります。

Dellでは、この問題に関する次のセキュリティ記事を公開しています。

• DSA-2021-265: Apache Log4jリモート コード実行の脆弱性に関するDell EMC VxRailセキュリティ アップデート(CVE-2021-44228)
• DSN-2021-007：Apache Log4jリモート コード実行の脆弱性に対するDellの対応

VMwareは、自社製品に関連する複数の記事を公開しています。

• 『VMware Security Advisory：VMSA-2021-0028』
• VMSA-2021-0028: Questions & Answers』
• 『Python script to automate the workaround steps of VMSA-2021-0028 vulnerability on vCenter Server Appliance (87088)』
• VMware Cloud FoundationのCVE-2021-44228に対処するための回避手順(87095)

次の情報では、この問題と、それがVxRailリリースにどのように影響するかについて説明します。


 

VxRailリリースへの影響

VxRailソフトウェア スタック内のいくつかのコンポーネント(VxRail ManagerおよびVMware vSphere)が影響を受けます

現在のVxRailリリースの問題のステータス:

• この問題は、VxRailパッケージ ソフトウェア7.0.320で解決されました
• この問題は、VxRail Applianceソフトウェア4.7.541で解決されました
• この問題は、VxRail Applianceソフトウェア4.5.471で解決されました

注：VxRail Applianceソフトウェア リリース 4.0.xxx など、以前のVxRailリリースも影響を受けます。
 

VxRail導入済みまたは管理対象vCenterを備えたVxRail環境

VMwareは、vCenter Server Appliance (vCSA)の回避策を公開しました。この回避策の詳細については、 VMSA-2021-0028 の記事を参照してください。

 

お客様/外部で管理されるvCenterまたはその他のVMwareコンポーネントと製品を備えたVxRail環境

お客様が管理するvCenterの場合、または外部vCenterの場合、回避策およびその他の修復手順の詳細については、VMware VMSA-2021-0028 の記事を参照してください
お客様は、必要に応じて、これらの記事でVMwareが推奨する回避策または修復を実装できます。

手記：vCenterバージョンを7.0u3c以降にアップグレードする前に、ESXiバージョンをアップグレードする必要があるシナリオがあります。詳細については、次の記事を参照してください。

• Dell EMC VxRail：外部vCenterを7.0 U3c以降にアップグレードすると、ホストが最初にアップグレードされないため、事前チェックで失敗します

VxRailで管理されていないvCenterでサポートが必要な場合は、VMwareに連絡してサポートを受けてください。その他のVxRailコンポーネントについては、Dellサポートにお問い合わせください
VxRail以外のVMware製品については、VMwareにお問い合わせください。

注：VMwareは、vCenter Server Appliance (vCSA)に回避策を実装するために必要なすべての変更を自動化するスクリプトを提供しています。VxRail 4.5/4.7環境では、最初にPlatform Service Controller (PSC)でスクリプトを実行し、次にvCSAアプライアンスでこの回避策を実行する必要があります。両方のアプライアンスで回避策を実装する必要があります。他のVMware製品での回避策については、上記のVMSA-2021-0028を参照してください。

• 『Python script to automate the workaround steps of VMSA-2021-0028 vulnerability on vCenter Server Appliance (87088)』

VMware Cloud Foundation on Dell VxRailへの影響

VMware Cloud Foundationのアップグレードは、SDDC Managerのライフサイクル管理インターフェイスで実行されます

現在のVMware Cloud Foundation on Dell VxRailリリースの問題のステータス:

• この問題は、VMware Cloud Foundation 3.11で解決されました
• この問題は、VMware Cloud Foundation 4.4で解決されました

VCFでのこの問題の詳細については、次のVMware記事を参照してください。

• VMware Cloud FoundationのCVE-2021-44228に対処するための回避手順(87095)

仮想マシンで実行されているアプリケーションとサービスへの影響。

VxRailまたは関連するVMwareコンポーネントで実行される修復は、これらのコンポーネントを脆弱性から保護します。
Apache Log4jライブラリーのリモート コード実行の脆弱性にさらされている可能性のある仮想マシン(VM)内で実行されているアプリケーションやサービスは修復されません。

デル・テクノロジーズでは、VMで実行されているサービスが影響を受けていないことを確認するために、アプリケーション/ソフトウェアのベンダーに確認することをお勧めします
VM内で影響を受けるアプリケーションまたはサービスは、ソフトウェア ベンダーのドキュメントまたは修復手順に従って修復する必要があります。