VMware 多个产品 Log4j2 RCE(CVE-2021-44228)危级漏洞通告

发布时间 2021-12-13

漏洞说明 


Apache Log4j2是一款Apache软件基金会的开源基础框架,用于Java日志记录的工具。日志记录主要用来监视代码中变量的变化情况,周期性的记录到文件中供其他应用进行统计分析工作;跟踪代码运行时轨迹,作为日后审计的依据;担当集成开发环境中的调试器的作用,向文件或控制台打印代码的调试信息。其在JAVA生态环境中应用极其广泛,影响巨大。


近日, Apache Log4j2 被爆存在远程代码执行漏洞(CVE-2021-44228),该漏洞一旦被攻击者利用会造成严重危害。该漏洞的触发点在于利用org.apache.logging.log4j.Logger进行log或error等记录操作时未对日志message信息进行有效检查,从而导致漏洞发生。


VMware众多产品受此漏洞影响,启明星辰ADLab第一时间测试并确认VMware vCenter6.5、VMware vCenter6.7、VMware vCenter7.0、VMware NSX受此漏洞的影响,可在未授权的情况下达到远程命令执行的效果。


漏洞说明.png


漏洞说明影响.png


 影响版本 


VMware官方公布受此漏洞影响的产品列表如下所示:

VMware Horizon

VMware vCenter Server

VMware HCX

VMware NSX-T Data Center

VMware Unified Access Gateway

VMware WorkspaceOne Access

VMware Identity Manager

VMware vRealize Operations

VMware vRealize Operations Cloud Proxy

VMware vRealize Log Insight

VMware vRealize Automation

VMware vRealize Lifecycle Manager

VMware Telco Cloud Automation

VMware Site Recovery Manager

VMware Carbon Black Cloud Workload Appliance

VMware Carbon Black EDR Server

VMware Tanzu GemFire

VMware Tanzu Greenplum

VMware Tanzu Operations Manager

VMware Tanzu Application Service for VMs

VMware Tanzu Kubernetes Grid Integrated Edition

VMware Tanzu Observability by Wavefront Nozzle

Healthwatch for Tanzu Application Service

Spring Cloud Services for VMware Tanzu

Spring Cloud Gateway for VMware Tanzu

Spring Cloud Gateway for Kubernetes

API Portal for VMware Tanzu

Single Sign-On for VMware Tanzu Application Service

App Metrics

VMware vCenter Cloud Gateway

VMware Tanzu SQL with MySQL for VMs

VMware vRealize Orchestrator

VMware Cloud Foundation

 

 漏洞修复 


鉴于已经发现针对VMwarevCenter 等应用的在野攻击利用,下面给出VMware官方的安全通告链接:

https://www.vmware.com/security/advisories/VMSA-2021-0028.html


针对Log4j2漏洞,VMware暂时只给出了漏洞缓解措施,并未发布安全补丁,可以参考建议对相应系统进行加固。还请继续关注其补丁更新。