VxRail: Information om Log4Shell- (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104) och VxRail-miljöer

Apache Software Foundation har publicerat information om ett kritiskt säkerhetsproblem med fjärrkörning av kod i Apache Log4j-biblioteket som kallas Log4Shell. Detta beskrivs i GitHub Advisory Database (beskrivs även i CVE-2021-44228, CVE-2021-45046 och CVE-2021-4104). Det här biblioteket används ofta i Java-baserade program för att tillåta loggning av vanliga händelser och händelser på disken. Det finns flera komponenter i VxRail- och VMware-mjukvarustackarna som använder detta bibliotek.

Dell har publicerat följande säkerhetsartiklar om det här problemet:

• DSA-2021-265: Säkerhetsuppdatering för Dell EMC VxRail för säkerhetsproblem med fjärrkörning av kod Apache Log4j (CVE-2021-44228)
• DSN-2021-007: Dells svar på Apache Log4j-sårbarhet på grund av RCE-attack

VMware publicerade flera artiklar relaterade till sina produkter i:

• VMware-säkerhetsrekommendation VMSA-2021-0028
• VMSA-2021-0028: Frågor & Svar
• Python-skript för att automatisera lösningsstegen för säkerhetsproblemet VMSA-2021-0028 på vCenter Server Appliance (87088)
• Kringgå anvisningar för att hantera CVE-2021-44228 i VMware Cloud Foundation (87095)

Följande information beskriver problemet och hur det påverkar VxRail-versioner.


 

Påverkan på VxRail-versioner

Flera komponenter i VxRail-mjukvarustacken (VxRail Manager och VMware vSphere) påverkas.

Status för problemet i aktuella VxRail-versioner:

• Det här problemet har lösts i VxRail-paketprogramvaran 7.0.320
• Det här problemet har lösts i VxRail Appliance-programvaran 4.7.541
• Det här problemet har lösts i VxRail Appliance-programvaran 4.5.471

Obs! Äldre VxRail-versioner, till exempel programvaruversionen VxRail Appliance 4.0.xxx påverkas också.
 

VxRail-miljöer med VxRail distribuerat eller hanterat vCenter

VMware publicerade en lösning för vCenter Server Appliance (vCSA). Information om den här lösningen finns i artikeln VMSA-2021-0028 .

 

VxRail-miljöer med kund/externt hanterat vCenter eller andra VMware-komponenter och -produkter

För kundhanterad eller extern vCenter kan du läsa artikeln VMware VMSA-2021-0028 för information om lösningar och andra reparationssteg.
Kunder kan implementera lösningar eller åtgärder som rekommenderas av VMware i dessa artiklar efter behov.

Not: Det finns scenarier där ESXi-versioner måste uppgraderas innan du uppgraderar vCenter-versionen till 7.0u3c eller senare. Mer information finns i följande artikel:

• Dell EMC VxRail: Uppgradering av extern vCenter till 7.0 U3c eller senare misslyckas vid förkontrollen eftersom värdarna inte uppgraderades först

Om du behöver hjälp med ett vCenter som inte är hanterat av VxRail kontaktar du VMware för hjälp. För andra VxRail-komponenter kontaktar du Dells support för att få hjälp.
För VMware-produkter utanför VxRail kontaktar du VMware för hjälp.

Obs! VMware tillhandahöll ett skript för att automatisera alla ändringar som krävs för att implementera lösningarna i vCenter Server Appliance (vCSA). För VxRail 4.5/4.7-miljöer kör du först skriptet på Platform Service Controller (PSC) och sedan vCSA-enheten. Båda enheterna måste implementera lösningen. Information om lösningar med andra VMware-produkter finns i VMSA-2021-0028 ovan:

• Python-skript för att automatisera lösningsstegen för säkerhetsproblemet VMSA-2021-0028 på vCenter Server Appliance (87088)

Inverkan på VMware Cloud Foundation på Dell VxRail

VMware Cloud Foundation-uppgraderingar utförs i Lifecycle Management-gränssnittet i SDDC Manager.

Status för problemet i aktuella VMware Cloud Foundation på Dell VxRail-versioner:

• Det här problemet är löst i VMware Cloud Foundation 3.11
• Det här problemet är löst i VMware Cloud Foundation 4.4

Mer detaljerad information om det här problemet i VCF finns i följande VMware-artikel:

• Kringgå anvisningar för att hantera CVE-2021-44228 i VMware Cloud Foundation (87095)

Påverkan på program och tjänster som körs i Virtual Machines.

Alla åtgärder som utförs på VxRail eller associerade VMware-komponenter skyddar dessa komponenter mot säkerhetsrisken.
Det åtgärdar inte program eller tjänster som körs i virtuella maskiner (VM) som kan exponeras för säkerhetsproblemet med fjärrkörning av kod i Apache Log4j-biblioteket.

Dell Technologies rekommenderar att du kontaktar deras program-/programvaruleverantörer för tjänster som körs i virtuella maskiner för att säkerställa att de inte påverkas.
Alla program eller tjänster som påverkas av virtuella datorer måste åtgärdas enligt programvaruleverantörens dokumentation eller reparationssteg.