VMware 对 Apache Log4j 远程代码执行漏洞的响应(CVE-2021-44228、CVE-2021-45046)
VMware 对 Apache Log4j 远程代码执行漏洞的响应(CVE-2021-44228、CVE-2021-45046)
1. 受影响的产品(评估中)
- 地平线
- VMware vCenter 服务器
- VMware HCX
- VMware NSX-T 数据中心
- VMware 统一接入网关
- VMware WorkspaceOne Access
- VMware 身份管理器
- VMware vRealize Operations
- VMware vRealize Operations 云代理
- VMware vRealize 自动化
- VMware vRealize Lifecycle Manager
- VMware Site Recovery Manager、vSphere Replication
- VMware Carbon Black 云工作负载设备
- VMware Carbon Black EDR 服务器
- VMware Tanzu GemFire
- 用于虚拟机的 VMware Tanzu GemFire
- VMware Tanzu Greenplum 平台扩展框架
- Greenplum 文本
- VMware Tanzu 运营经理
- 适用于 VM 的 VMware Tanzu 应用程序服务
- VMware Tanzu Kubernetes Grid 集成版
- Wavefront Nozzle 的 VMware Tanzu 可观察性
- 适用于 Tanzu 应用服务的 Healthwatch
- 面向 VMware Tanzu 的 Spring Cloud 服务
- 适用于 VMware Tanzu 的 Spring Cloud Gateway
- Kubernetes 的 Spring Cloud Gateway
- 适用于 VMware Tanzu 的 API 门户
- VMware Tanzu 应用程序服务的单点登录
- 应用指标
- VMware vCenter 云网关
- VMware vRealize Orchestrator
- VMware 云基础
- VMware Workspace ONE 访问连接器
- VMware Horizon DaaS
- VMware Horizon Cloud 连接器
- 适用于 vSphere 的 VMware NSX 数据中心
- VMware AppDefense 设备
- VMware Cloud Director 对象存储扩展
- VMware 电信云运营
- VMware vRealize Log Insight
- VMware Tanzu 调度程序
- VMware 智能保证 NCM
- VMware Smart Assurance SAM [服务保障管理器]
- VMware 集成 OpenStack
- VMware vRealize Business for Cloud
- VMware vRealize Network Insight
- VMware Cloud Provider Lifecycle Manager
- VMware SD-WAN VCO
- VMware NSX-T 智能设备
- VMware Horizon Agent 安装程序
- VMware Tanzu 可观察性代理
- VMware 智能保障 M&R
- TKGI 的 VMware Harbor Container Registry
- 适用于 VMware Cloud Director 的 VMware vRealize Operations 租户应用程序
- (将添加其他产品)
2. 介绍
Apache Log4j 中由 CVE-2021-44228 和 CVE-2021-45046 识别的严重漏洞已公开披露,这些漏洞会影响 VMware 产品。
这是一个持续的事件,请查看此公告以了解其开发过程中的频繁更新。
3. 问题描述
描述
多个产品通过 Apache Log4j(CVE-2021-44228、CVE-2021-45046)受到远程代码执行漏洞的影响。
已知的攻击向量
对受影响的 VMware 产品具有网络访问权限的恶意行为者可能会利用这些问题来完全控制目标系统。
解决
CVE-2021-44228 和 CVE-2021-45046 的修复记录在下面“响应矩阵”的“固定版本”列中。
解决方法
CVE-2021-44228 和 CVE-2021-45046 的变通方法记录在下面“响应矩阵”的“变通方法”列中。
附加文件
没有任何。
致谢
没有任何。
笔记
- VMware 已经确认了 CVE-2021-44228 的野外利用尝试。
- 创建了补充博客文章和常见问题列表以进行额外说明。请参阅:https : //via.vmw.com/vmsa-2021-0028-faq
- 未受影响的 VMware 产品可以参考知识库文章:https : //kb.vmware.com/s/article/87068
- 2021 年 12 月 14 日,Apache 软件基金会通知社区,他们对 CVE-2021-44228 变通方法的初步指导不足以消除所有可能的攻击媒介。此外,还发布了一个由 CVE-2021-45046 识别的新漏洞。作为回应,VMware 已与新指南保持一致,并将更新相关文档以及解决方法和修复程序,以完全解决这两个漏洞。
- 2021 年 12 月 17 日,Apache 软件基金会将 CVE-2021-45046 的严重性更新为 9.0,作为回应,我们调整了我们的建议。
- Apache 软件基金会披露了一个由 CVE-2021-45105 识别的新漏洞,该漏洞会影响非默认配置中 2.17 之前的 log4j 版本。在此公告发布后不久,VMware 开始调查此漏洞的潜在影响。在此更新时,我们尚未在任何 VMware 产品中找到可利用 CVE-2021-45105 的有效攻击媒介,但调查将继续进行。VMware 将在我们产品的未来版本中将 log4j 更新为 2.17。
响应矩阵:
| 产品 | 版本 | 继续运行 | CVE 标识符 | CVSSv3 | 严重性 | 固定版 | 解决方法 | 附加文件 |
|
地平线
|
8.x, 7.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware vCenter 服务器
|
7.x、6.7.x、6.5.x
|
虚拟设备
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware vCenter 服务器
|
6.7.x、6.5.x
|
视窗
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware HCX
|
4.3
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
不适用
|
不适用
|
不适用
|
不适用
|
|
|
VMware HCX
|
4.2.x、4.0.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware HCX
|
4.1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware NSX-T 数据中心
|
3.1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware NSX-T 数据中心
|
3.0.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware NSX-T 数据中心
|
2.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware 统一接入网关
|
21.x、20.x、3.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware Workspace ONE Access
|
21.x、20.10.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware 身份管理器
|
3.3.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware vRealize Operations
|
8.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware vRealize Operations 云代理
|
任何
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware vRealize 自动化
|
8.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware vRealize 自动化
|
7.6
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware vRealize Lifecycle Manager
|
8.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware Carbon Black 云工作负载设备
|
1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware Carbon Black EDR 服务器
|
7.6.0、7.5.x、7.4.x、7.3.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware Site Recovery Manager、vSphere Replication
|
8.5、8.4、8.3
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware Tanzu GemFire
|
9.10.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
用于虚拟机的 VMware Tanzu GemFire
|
1.14.x、1.13.x、1.10.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware Tanzu Greenplum 平台扩展框架
|
6.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
Greenplum 文本
|
3.4-3.8
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware Tanzu 运营经理
|
2.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
适用于 VM 的 VMware Tanzu 应用程序服务
|
2.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware Tanzu Kubernetes Grid 集成版
|
1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
Wavefront Nozzle 的 VMware Tanzu 可观察性
|
3.x, 2.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
解决方法待定
|
没有任何
|
|
|
适用于 Tanzu 应用服务的 Healthwatch
|
2.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
解决方法待定
|
没有任何
|
|
|
适用于 Tanzu 应用服务的 Healthwatch
|
1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
解决方法待定
|
没有任何
|
|
|
面向 VMware Tanzu 的 Spring Cloud 服务
|
3.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
没有任何
|
|
|
面向 VMware Tanzu 的 Spring Cloud 服务
|
2.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
没有任何
|
|
|
适用于 VMware Tanzu 的 Spring Cloud Gateway
|
1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
解决方法待定
|
没有任何
|
|
|
Kubernetes 的 Spring Cloud Gateway
|
1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
解决方法待定
|
没有任何
|
|
|
适用于 VMware Tanzu 的 API 门户
|
1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
解决方法待定
|
没有任何
|
|
|
VMware Tanzu 应用程序服务的单点登录
|
1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
解决方法待定
|
没有任何
|
|
|
应用指标
|
2.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
解决方法待定
|
没有任何
|
|
|
VMware vCenter 云网关
|
1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware vRealize Orchestrator
|
8.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware vRealize Orchestrator
|
7.6
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware 云基础
|
4.x, 3.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware Workspace ONE 访问连接器(VMware Identity Manager 连接器)
|
21.08.0.1、21.08、20.10、19.03.0.1
|
视窗
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware Horizon DaaS
|
9.1.x、9.0.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware Horizon Cloud 连接器
|
1.x, 2.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
没有任何
|
|
|
适用于 vSphere 的 VMware NSX 数据中心
|
6.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware AppDefense 设备
|
2.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
不适用
|
没有任何
|
|
|
VMware Cloud Director 对象存储扩展
|
2.1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware Cloud Director 对象存储扩展
|
2.0.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware 电信云运营
|
1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware vRealize Log Insight
|
8.2、8.3、8.4、8.6
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware Tanzu 调度程序
|
1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware 智能保证 NCM
|
10.1.6
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware Smart Assurance SAM [服务保障管理器]
|
10.1.0.x、10.1.2、10.1.5、
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware 集成 OpenStack
|
7.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware vRealize Business for Cloud
|
7.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware vRealize Network Insight
|
5.3、6.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware Cloud Provider Lifecycle Manager
|
1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware SD-WAN VCO
|
4.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware NSX-T 智能设备
|
1.2.x、1.1.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
VMware Horizon Agent 安装程序
|
21.xx, 20.xx
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware Tanzu 可观察性代理
|
10.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
VMware 智能保障 M&R
|
6.8u5、7.0u8、7.2.0.1
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
|
|
TKGI 的 VMware Harbor Container Registry
|
2.x
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
没有任何
|
||
|
适用于 VMware Cloud Director 的 VMware vRealize Operations 租户应用程序
|
2.5
|
任何
|
CVE-2021-44228、CVE-2021-45046
|
10.0, 9.0
|
危急
|
补丁未决
|
没有任何
|
4. 参考文献
第一个 CVSSv3 计算器:
CVE-2021-44228:https ://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H / I:H/A:H (10.0)
CVE-2021-45046:https ://www.first.org/cvss/calculator/3.1#CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H / I:H/A:H (9.0)
Mitre CVE 字典链接:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
5. 更改日志
2021-12-10:VMSA-2021-0028
初始安全公告。
2021-12-11:VMSA-2021-0028.1
更新了包含多个产品(包括 vCenter Server Appliance、vRealize Operations、Horizon、vRealize Log Insight、Unified Access Gateway)的解决方法信息的咨询。
2021-12-13:VMSA-2021-0028.2
修订了对多个产品更新的咨询。
2021-12-15:VMSA-2021-0028.3
修订了对多个产品更新的咨询。此外,添加了 CVE-2021-45046 信息并指出与新的 Apache 软件基金会指南保持一致。
2021-12-17:VMSA-2021-0028.4
修订了对多个产品更新的咨询。
2021-12-20:VMSA-2021-0028.5
添加了有关当前 CVE-2021-45105 调查的注释。
2021-12-21:VMSA-2021-0028.6
修订了公告,更新了多个产品,包括 vRealize Operations 和 vRealize Log Insight。
2021-12-22:VMSA-2021-0028.7
修订了对包括 HCX 在内的多种产品的更新的咨询。
2021-12-24:VMSA-2021-0028.8
修订了对多个产品(包括 NSX-T、TKGI 和 Greenplum)的更新的咨询
发布时间:2021-12-28 10:20
