VxRail: Log4Shell(CVE-2021-44228/CVE-2021-45046/CVE-2021-4104) 및 VxRail 환경에 대한 정보

Apache Software Foundation은 Log4Shell로 알려진 중요한 Apache Log4j 라이브러리 원격 코드 실행 취약성 문제에 대한 정보를 게시했습니다. 이는 GitHub Advisory Database에 자세히 설명되어 있습니다(CVE-2021-44228, CVE-2021-45046 및 CVE-2021-4104에도 자세히 설명되어 있음). 이 라이브러리는 Java 기반 프로그램에서 일반 이벤트 및 이벤트를 디스크에 기록할 수 있도록 많이 사용됩니다. VxRail 및 VMware 소프트웨어 스택에는 이 라이브러리를 사용하는 여러 구성 요소가 있습니다.

Dell은 이 문제와 관련된 다음과 같은 보안 문서를 게시했습니다.

• DSA-2021-265: Apache Log4j 원격 코드 실행 취약성(CVE-2021-44228)에 대한 Dell EMC VxRail 보안 업데이트
• DSN-2021-007: Apache log4j 원격 코드 실행 취약성에 대한 Dell의 대응

VMware는 다음 웹 사이트에 제품과 관련된 여러 문서를 게시했습니다.

• VMware 보안 권고 VMSA-2021-0028
• VMSA-2021-0028: 질문 및 답변
• vCenter Server Appliance에서 VMSA-2021-0028 취약성의 해결 방법 단계를 자동화하는 Python 스크립트(87088)
• VMware Cloud Foundation의 CVE-2021-44228을 해결하기 위한 해결 지침(87095)

다음 정보는 이 문제와 이 문제가 VxRail 릴리스에 미치는 영향에 대해 설명합니다.


 

VxRail 릴리스에 미치는 영향

VxRail 소프트웨어 스택의 여러 구성 요소(VxRail Manager 및 VMware vSphere)가 영향을 받습니다.

현재 VxRail 릴리스의 문제 상태:

• 이 문제는 VxRail 패키지 소프트웨어 7.0.320에서 해결되었습니다.
• 이 문제는 VxRail 어플라이언스 소프트웨어 4.7.541에서 해결되었습니다.
• 이 문제는 VxRail 어플라이언스 소프트웨어 4.5.471에서 해결되었습니다.

참고: VxRail 어플라이언스 소프트웨어 릴리스 4.0.xxx 와 같은 이전 VxRail 릴리스도 영향을 받습니다.
 

VxRail을 통해 vCenter를 배포 또는 관리하는 VxRail 환경

VMware는 vCSA(vCenter Server Appliance)에 대한 해결 방법을 게시했습니다. 이 해결 방법에 대한 정보는 VMSA-2021-0028 문서에서 확인할 수 있습니다.

 

고객/외부 관리 vCenter 또는 기타 VMware 구성 요소와 제품이 포함된 VxRail 환경

고객 관리형 또는 외부 vCenter의 경우 해결 방법 및 기타 문제 해결 단계에 대한 자세한 내용은 VMware VMSA-2021-0028 문서를 참조하십시오.
고객은 필요에 따라 해당 문서에서 VMware에서 권장하는 해결 방법 또는 문제 해결 방법을 구현할 수 있습니다.

메모: vCenter 버전을 7.0u3c 이상으로 업그레이드하기 전에 ESXi 버전을 업그레이드해야 하는 시나리오가 있습니다. 자세한 내용은 다음 문서를 참조하십시오.

• Dell EMC VxRail: 호스트가 먼저 업그레이드되지 않아 사전 점검에서 외부 vCenter를 7.0 U3c 이상으로 업그레이드하지 못함

VxRail에서 관리하지 않는 vCenter에 대한 지원이 필요한 경우 VMware에 지원을 요청하십시오. 다른 VxRail 구성 요소의 경우 Dell 지원에 도움을 문의하십시오.
VxRail 이외의 VMware 제품의 경우 VMware에 지원을 요청하십시오.

참고: VMware는 vCSA(vCenter Server Appliance)에서 해결 방법을 구현하는 데 필요한 모든 변경을 자동화하는 스크립트를 제공했습니다. VxRail 4.5/4.7 환경의 경우 먼저 PSC(Platform Service Controller)에서 스크립트를 실행한 다음 vCSA 어플라이언스를 실행합니다. 두 어플라이언스 모두 해결 방법을 구현해야 합니다. 다른 VMware 제품에 대한 해결 방법은 위의 VMSA-2021-0028을 참조하십시오.

• vCenter Server Appliance에서 VMSA-2021-0028 취약성의 해결 방법 단계를 자동화하는 Python 스크립트(87088)

VMware Cloud Foundation on Dell VxRail에 미치는 영향

VMware Cloud Foundation 업그레이드는 SDDC Manager의 수명주기 관리 인터페이스에서 수행됩니다.

현재 VMware Cloud Foundation on Dell VxRail 릴리스의 문제 상태:

• 이 문제는 VMware Cloud Foundation 3.11에서 해결되었습니다.
• 이 문제는 VMware Cloud Foundation 4.4에서 해결되었습니다.

VCF에서 이 문제에 대한 자세한 내용은 다음 VMware 문서를 참조하십시오.

• VMware Cloud Foundation의 CVE-2021-44228을 해결하기 위한 해결 지침(87095)

가상 머신에서 실행되는 애플리케이션 및 서비스에 미치는 영향

VxRail 또는 관련 VMware 구성 요소에서 수행되는 모든 문제 해결은 취약성으로부터 해당 구성 요소를 보호합니다.
Apache Log4j 라이브러리 원격 코드 실행 취약성에 노출될 수 있는 VM(가상 머신) 내에서 실행되는 애플리케이션 또는 서비스는 수정하지 않습니다.

Dell Technologies는 VM에서 실행되는 서비스에 대해 애플리케이션/소프트웨어 공급업체에 문의하여 영향을 받지 않는 것이 좋습니다.
VM 내에서 영향을 받는 모든 애플리케이션 또는 서비스는 소프트웨어 공급업체 설명서 또는 수정 단계에 따라 수정해야 합니다.