VxRail. Информация о Log4Shell (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104) и средах VxRail

Фонд Apache Software Foundation опубликовал информацию о критической уязвимости удаленного выполнения кода библиотеки Apache Log4j, известной как Log4Shell. Это подробно описано в GitHub Advisory Database (также подробно описано в CVE-2021-44228, CVE-2021-45046 и CVE-2021-4104). Эта библиотека активно используется в программах на основе Java для записи регулярных и событий на диск. В программных стеках VxRail и VMware есть несколько компонентов, использующих эту библиотеку.

В связи с данной проблемой компания Dell опубликовала следующие статьи по безопасности:

• DSA-2021-265: Обновление безопасности Dell EMC VxRail для уязвимости Apache Log4j, делающей возможным удаленное выполнение кода (CVE-2021-44228)
• DSN-2021-007. Ответ Dell на уязвимость Apache Log4j, делающую возможным удаленное выполнение кода

Компания VMware опубликовала несколько статей, посвященных своим продуктам:

• Рекомендации по безопасности VMware VMSA-2021-0028
• VMSA-2021-0028: Вопросы и ответы
• Сценарий Python для автоматизации действий по временному решению уязвимости VMSA-2021-0028 в vCenter Server Appliance (87088)
• Временное решение инструкций по устранению CVE-2021-44228 в VMware Cloud Foundation (87095)

Ниже приведена информация об этой проблеме и о том, как она влияет на выпуски VxRail.


 

Влияние на выпуски VxRail

Затронуты

несколько компонентов в стеке программного обеспечения VxRail (VxRail Manager и VMware vSphere).Состояние проблемы в текущих выпусках VxRail:

• Эта проблема устранена в программном обеспечении пакета VxRail 7.0.320
• Эта проблема устранена в ПО устройства VxRail 4.7.541
• Эта проблема устранена в ПО устройства VxRail 4.5.471

Примечание. Также затронуты более старые выпуски VxRail, такие как выпуск 4.0.xxx ПО устройства VxRail.
 

Среды VxRail с развернутым или управляемым vCenter VxRail

Компания VMware опубликовала временное решение для vCenter Server Appliance (vCSA). Информацию об этом временном решении можно найти в статье VMSA-2021-0028 .

 

Среды VxRail с управляемым vCenter заказчика/внешней компанией или другими компонентами и продуктами VMware

Для vCenter, управляемого заказчиком или внешнего, см. статью VMware VMSA-2021-0028 для получения информации о временных решениях и других действиях по исправлению.
При необходимости заказчики могут реализовать временные решения или исправления, рекомендованные VMware в этих статьях.

Заметка: Существуют сценарии, в которых перед обновлением vCenter до версии vCenter 7.0u3c или более поздней версии требуется модернизировать версии ESXi. Дополнительные сведения см. в следующей статье:

• Dell EMC VxRail. Модернизация внешнего vCenter до версии 7.0 U3c или более поздней версии завершается сбоем при предварительной проверке из-за того, что хосты не модернизируются первыми

Если вам требуется помощь с vCenter, управляемым не VxRail, обратитесь за помощью в VMware. Для получения помощи от других компонентов VxRail обратитесь в службу поддержки Dell.
Для продуктов VMware за пределами VxRail обратитесь за помощью к VMware.

Примечание. Компания VMware предоставила сценарий для автоматизации всех изменений, необходимых для реализации временных решений в vCenter Server Appliance (vCSA). Для сред VxRail 4.5/4.7 сначала запустите сценарий на контроллере Platform Service Controller (PSC), а затем на устройстве vCSA. На обоих устройствах должно быть реализовано временное решение. Временные решения для других продуктов VMware см. в VMSA-2021-0028 выше:

• Сценарий Python для автоматизации действий по временному решению уязвимости VMSA-2021-0028 в vCenter Server Appliance (87088)

Влияние на VMware Cloud Foundation на базе Dell VxRail

Модернизация VMware Cloud Foundation выполняется в интерфейсе управления жизненным циклом SDDC Manager.

Состояние проблемы в текущих выпусках VMware Cloud Foundation на базе Dell VxRail:

• Эта проблема устранена в VMware Cloud Foundation 3.11
• Эта проблема устранена в VMware Cloud Foundation 4.4

Дополнительные сведения об этой проблеме в VCF см. в следующей статье VMware:

• Временное решение инструкций по устранению CVE-2021-44228 в VMware Cloud Foundation (87095)

Влияние на приложения и службы, работающие на виртуальных машинах.

Любые исправления, выполняемые в VxRail или связанных с ним компонентах VMware, защищают эти компоненты от уязвимости.
Оно не исправляет приложения или службы, работающие на виртуальных машинах (ВМ), которые могут быть подвержены уязвимости библиотеки Apache Log4j, делающей возможным удаленное выполнение кода.

Dell Technologies рекомендует уточнить у поставщиков приложений и программного обеспечения, работают ли сервисы на виртуальных машинах, чтобы убедиться, что они не затронуты.
Любые приложения или службы, затронутые на виртуальных машинах, должны быть исправлены в соответствии с документацией поставщика программного обеспечения или инструкциями по устранению.