VMware 多个产品 Log4j2 RCE(CVE-2021-44228)危级漏洞通告
发布时间 2021-12-13漏洞说明
Apache Log4j2是一款Apache软件基金会的开源基础框架,用于Java日志记录的工具。日志记录主要用来监视代码中变量的变化情况,周期性的记录到文件中供其他应用进行统计分析工作;跟踪代码运行时轨迹,作为日后审计的依据;担当集成开发环境中的调试器的作用,向文件或控制台打印代码的调试信息。其在JAVA生态环境中应用极其广泛,影响巨大。
近日, Apache Log4j2 被爆存在远程代码执行漏洞(CVE-2021-44228),该漏洞一旦被攻击者利用会造成严重危害。该漏洞的触发点在于利用org.apache.logging.log4j.Logger进行log或error等记录操作时未对日志message信息进行有效检查,从而导致漏洞发生。
VMware众多产品受此漏洞影响,启明星辰ADLab第一时间测试并确认VMware vCenter6.5、VMware vCenter6.7、VMware vCenter7.0、VMware NSX受此漏洞的影响,可在未授权的情况下达到远程命令执行的效果。
影响版本
VMware官方公布受此漏洞影响的产品列表如下所示:
VMware Horizon
VMware vCenter Server
VMware HCX
VMware NSX-T Data Center
VMware Unified Access Gateway
VMware WorkspaceOne Access
VMware Identity Manager
VMware vRealize Operations
VMware vRealize Operations Cloud Proxy
VMware vRealize Log Insight
VMware vRealize Automation
VMware vRealize Lifecycle Manager
VMware Telco Cloud Automation
VMware Site Recovery Manager
VMware Carbon Black Cloud Workload Appliance
VMware Carbon Black EDR Server
VMware Tanzu GemFire
VMware Tanzu Greenplum
VMware Tanzu Operations Manager
VMware Tanzu Application Service for VMs
VMware Tanzu Kubernetes Grid Integrated Edition
VMware Tanzu Observability by Wavefront Nozzle
Healthwatch for Tanzu Application Service
Spring Cloud Services for VMware Tanzu
Spring Cloud Gateway for VMware Tanzu
Spring Cloud Gateway for Kubernetes
API Portal for VMware Tanzu
Single Sign-On for VMware Tanzu Application Service
App Metrics
VMware vCenter Cloud Gateway
VMware Tanzu SQL with MySQL for VMs
VMware vRealize Orchestrator
VMware Cloud Foundation
漏洞修复
鉴于已经发现针对VMwarevCenter 等应用的在野攻击利用,下面给出VMware官方的安全通告链接:
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
针对Log4j2漏洞,VMware暂时只给出了漏洞缓解措施,并未发布安全补丁,可以参考建议对相应系统进行加固。还请继续关注其补丁更新。