VMware 多个产物 Log4j2 RCE（CVE-2021-44228）危级漏洞通告

宣布时间 2021-12-13

漏洞说明

Apache Log4j2是一款Apache软件基金会的开源基础框架,用于Java日志记录的工具。日志记录主要用来监视代码中变量的变化情况，周期性的记录到文件中供其他应用进行统计分析事情；跟踪代码运行时轨迹，作为日后审计的依据；继承集成开发环境中的调试器的作用，向文件或控制台打印代码的调试信息。其在JAVA生态环境中应用极其广泛,影响巨大。

近日, Apache Log4j2 被爆存在远程代码执行漏洞（CVE-2021-44228），该漏洞一旦被攻击者利用会造成严重危害。该漏洞的触发点在于利用org.apache.logging.log4j.Logger进行log或error等记录操作时未对日志message信息进行有效检查,从而导致漏洞发生。

VMware众多产物受此漏洞影响,东森平台ADLab第一时间测试并确认VMware vCenter6.5、VMware vCenter6.7、VMware vCenter7.0、VMware NSX受此漏洞的影响,可在未授权的情况下到达远程命令执行的效果。

漏洞说明.png

漏洞说明影响.png

影响版本

VMware官方宣布受此漏洞影响的产物列表如下所示:

VMware Horizon

VMware vCenter Server

VMware HCX

VMware NSX-T Data Center

VMware Unified Access Gateway

VMware WorkspaceOne Access

VMware Identity Manager

VMware vRealize Operations

VMware vRealize Operations Cloud Proxy

VMware vRealize Log Insight

VMware vRealize Automation

VMware vRealize Lifecycle Manager

VMware Telco Cloud Automation

VMware Site Recovery Manager

VMware Carbon Black Cloud Workload Appliance

VMware Carbon Black EDR Server

VMware Tanzu GemFire

VMware Tanzu Greenplum

VMware Tanzu Operations Manager

VMware Tanzu Application Service for VMs

VMware Tanzu Kubernetes Grid Integrated Edition

VMware Tanzu Observability by Wavefront Nozzle

Healthwatch for Tanzu Application Service

Spring Cloud Services for VMware Tanzu

Spring Cloud Gateway for VMware Tanzu

Spring Cloud Gateway for Kubernetes

API Portal for VMware Tanzu

Single Sign-On for VMware Tanzu Application Service

App Metrics

VMware vCenter Cloud Gateway

VMware Tanzu SQL with MySQL for VMs

VMware vRealize Orchestrator

VMware Cloud Foundation

漏洞修复

鉴于已经发现针对VMwarevCenter 等应用的在野攻击利用,下面给出VMware官方的宁静通告链接:

https://www.vmware.com/security/advisories/VMSA-2021-0028.html

针对Log4j2漏洞，VMware暂时只给出了漏洞缓解措施,并未宣布宁静补丁,可以参考建议对相应系统进行加固�；骨爰绦刈⑵洳苟「�。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

VMware 多个产物 Log4j2 RCE（CVE-2021-44228）危级漏洞通告

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线