VMware 多个产品 Log4j2 RCE（CVE-2021-44228）危级误差通告

宣布时间 2021-12-13

误差说明

Apache Log4j2是一款Apache软件基金会的开源基础框架,用于Java日志纪录的工具。日志纪录主要用来监视代码中变量的转变情形，周期性的纪录到文件中供其他应用举行统计剖析事情；跟踪代码运行时轨迹，作为日后审计的依据；继续集成开发情形中的调试器的作用，向文件或控制台打印代码的调试信息。其在JAVA生态情形中应用极其普遍,影响重大。

克日, Apache Log4j2 被爆保存远程代码执行误差（CVE-2021-44228），该误差一旦被攻击者使用会造成严重危害。该误差的触发点在于使用org.apache.logging.log4j.Logger举行log或error等纪录操作时未对日志message信息举行有用检查,从而导致误差爆发。

VMware众多产品受此误差影响,优发国际网站官网ADLab第一时间测试并确认VMware vCenter6.5、VMware vCenter6.7、VMware vCenter7.0、VMware NSX受此误差的影响,可在未授权的情形下抵达远程下令执行的效果。

误差说明.png

误差说明影响.png

影响版本

VMware官方宣布受此误差影响的产品列表如下所示:

VMware Horizon

VMware vCenter Server

VMware HCX

VMware NSX-T Data Center

VMware Unified Access Gateway

VMware WorkspaceOne Access

VMware Identity Manager

VMware vRealize Operations

VMware vRealize Operations Cloud Proxy

VMware vRealize Log Insight

VMware vRealize Automation

VMware vRealize Lifecycle Manager

VMware Telco Cloud Automation

VMware Site Recovery Manager

VMware Carbon Black Cloud Workload Appliance

VMware Carbon Black EDR Server

VMware Tanzu GemFire

VMware Tanzu Greenplum

VMware Tanzu Operations Manager

VMware Tanzu Application Service for VMs

VMware Tanzu Kubernetes Grid Integrated Edition

VMware Tanzu Observability by Wavefront Nozzle

Healthwatch for Tanzu Application Service

Spring Cloud Services for VMware Tanzu

Spring Cloud Gateway for VMware Tanzu

Spring Cloud Gateway for Kubernetes

API Portal for VMware Tanzu

Single Sign-On for VMware Tanzu Application Service

App Metrics

VMware vCenter Cloud Gateway

VMware Tanzu SQL with MySQL for VMs

VMware vRealize Orchestrator

VMware Cloud Foundation

误差修复

鉴于已经发明针对VMwarevCenter 等应用的在野攻击使用,下面给出VMware官方的清静通告链接:

https://www.vmware.com/security/advisories/VMSA-2021-0028.html

针对Log4j2误差，VMware暂时只给出了误差缓解步伐,并未宣布清静补丁,可以参考建议对响应系统举行加固�；骨爰绦刈⑵洳苟「�。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

VMware 多个产品 Log4j2 RCE（CVE-2021-44228）危级误差通告

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

7*24小时服务热线