VxRail: Інформація про середовища Log4Shell (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104) і VxRail

Apache Software Foundation опублікував інформацію про критичну проблему віддаленого виконання коду Apache Log4j Library, відому як Log4Shell. Це детально описано в базі даних GitHub Advisory Database (також детально описано в CVE-2021-44228, CVE-2021-45046 і CVE-2021-4104). Ця бібліотека активно використовується в програмах на основі Java, щоб дозволити реєструвати регулярні події та події на диск. У програмних стеках VxRail і VMware є кілька компонентів, які використовують цю бібліотеку.

Компанія Dell опублікувала наступні статті з безпеки, пов'язані з цим питанням:

• ДАК-2021-265: Оновлення системи безпеки Dell EMC VxRail для вразливості віддаленого виконання коду Apache Log4j (CVE-2021-44228)
• ДСН-2021-007: Відповідь Dell на уразливість віддаленого виконання коду Apache Log4j

VMware опублікувала кілька статей, пов'язаних зі своїми продуктами в:

• Рекомендації з безпеки VMware VMSA-2021-0028
• ВМСА-2021-0028: Питання та відповіді
• Скрипт Python для автоматизації етапів обходу вразливості VMSA-2021-0028 на vCenter Server Appliance (87088)
• Обхідні інструкції для вирішення проблеми CVE-2021-44228 у VMware Cloud Foundation (87095)

У наведеній нижче інформації описано цю проблему та її вплив на випуски VxRail.


 

Вплив на релізи VxRail

Це впливає на кілька компонентів у стеку програмного забезпечення VxRail (VxRail Manager і VMware vSphere).

Статус проблеми в поточних релізах VxRail:

• Цю проблему вирішено в пакетному програмному забезпеченні VxRail 7.0.320
• Цю проблему вирішено в програмному забезпеченні VxRail Appliance 4.7.541
• Цю проблему вирішено в програмному забезпеченні VxRail Appliance 4.5.471

Примітка: Це також стосується старіших випусків VxRail, як-от 4.0.xxx випуску програмного забезпечення VxRail Appliance.
 

Середовища VxRail з розгорнутим або керованим VxRail vCenter

VMware опублікувала обхідний шлях для vCenter Server Appliance (vCSA). Інформацію про цей обхідний шлях можна знайти в статті VMSA-2021-0028 .

 

Середовища VxRail із клієнтським/зовнішнім керованим vCenter або іншими компонентами та продуктами VMware

Для керованого клієнтом або зовнішнього vCenter перегляньте статтю VMware VMSA-2021-0028 для отримання інформації про обхідні шляхи та інші кроки виправлення.
За потреби клієнти можуть впроваджувати обхідні шляхи або виправлення, рекомендовані VMware, у цих статтях.

Примітка: Існують сценарії, коли версії ESXi потрібно оновити, перш ніж оновлювати версію vCenter до 7.0u3c або пізніше. Дивіться наступну статтю для отримання додаткової інформації:

• Dell EMC VxRail: Оновлення зовнішнього vCenter до 7.0 U3c або вище не вдається під час попередньої перевірки через те, що хости не оновлюються спочатку

Якщо вам потрібна будь-яка допомога з vCenter, яким не керує VxRail, зверніться за допомогою до VMware. Щодо інших компонентів VxRail зверніться по допомогу до служби підтримки Dell.
Для продуктів VMware за межами VxRail зверніться за допомогою до VMware.

Примітка: VMware надала скрипт для автоматизації всіх змін, необхідних для реалізації обхідних шляхів у vCenter Server Appliance (vCSA). Для середовищ VxRail 4.5/4.7 спочатку запустіть скрипт на контролері служби платформи (PSC), а потім на пристрої vCSA, обидва пристрої повинні реалізувати обхідний шлях. Обхідні шляхи з іншими продуктами VMware дивіться у VMSA-2021-0028 вище:

• Скрипт Python для автоматизації етапів обходу вразливості VMSA-2021-0028 на vCenter Server Appliance (87088)

Вплив на VMware Cloud Foundation на Dell VxRail

Оновлення VMware Cloud Foundation виконується в інтерфейсі управління життєвим циклом в SDDC Manager.

Статус проблеми в поточних релізах VMware Cloud Foundation на Dell VxRail:

• Цю проблему вирішено в VMware Cloud Foundation 3.11
• Цю проблему вирішено в VMware Cloud Foundation 4.4

Для отримання більш детальної інформації про цю проблему в VCF дивіться наступну статтю VMware:

• Обхідні інструкції для вирішення проблеми CVE-2021-44228 у VMware Cloud Foundation (87095)

Вплив на програми та сервіси, що працюють у віртуальних машинах.

Будь-які виправлення, виконані на VxRail або пов'язаних з ним компонентах VMware, захищають ці компоненти від вразливості.
Він не виправляє програми або служби, запущені у віртуальних машинах (VM), які можуть бути схильні до уразливості

віддаленого виконання коду бібліотеки Apache Log4j.Dell Technologies рекомендує звертатися до своїх постачальників додатків/програмного забезпечення щодо послуг, що працюють у віртуальних машинах, щоб переконатися, що це не вплине на них.
Будь-які програми або служби, які зазнають впливу у віртуальних машинах, мають бути виправлені відповідно до документації постачальників програмного забезпечення або кроків виправлення.