VMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht

Sicherheit (Pexels, allgemeine Nutzung)[English]Die vor wenigen Tagen in der JAVA-Bibliothek log4j bekannt gewordene kritische Schwachstelle CVE-2021-44228 bedroht Millionen an Software-Produkten. Bei vielen Server-Produkten können Anwender wenig tun. Administratoren von VMware-Produkten möchte ich aber einen näheren Blick ans Herz legen, denn der Hersteller gibt einige Virtualisierungsprodukte als von der Schwachstelle betroffen an.


Anzeige

Die log4j-Schwachstelle CVE-2021-44228

Ich hatte bereits am 10. Dezember 2021 im Beitrag 0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter auf das Problem hingewiesen. Es gibt eine kritische Schwachstelle in der JNDI-Lookup-Funktion in der zum Logging benutzen Java Bibliothek log4j, über die Angreifer remote Code injizieren und ausführen lassen können. Die JNDI-Lookup-Funktion von log4j ermöglicht den Abruf von Variablen über das JNDI – Java Naming and Directory Interface. Die Schwachstelle hat den CVSSv3-Wert 10.0 (höchster Wert) erhalten.

Schreibt ein Angreifer schädlichen Code in Form einer URL in die Protokolldatei, kontaktiert der Verzeichnisdienst JNDI darauf hin den im Protokoll aufgeführten LDAP-Server, um von diesem Daten anzufordern. Das kann auch Java-Klassen umfassen, die dann ausgeführt werden. Gelingt es einem Angreifer die URL auf einen von ihm kontrollierten Server in der Protokolldatei anzugeben, kann er einen Server über das Logging zu kapern (Log4Shell).

Seit ein Proof of Concept (PoC) für die Remote Code Execution-Schwachstelle in log4j am 9. Dezember 2021 veröffentlicht wurde, steht die IT-Welt Kopf. Die US CISA warnt (siehe), dass dies die größte Sicherheitslücke des Jahres sei und hunderte Millionen an Geräten und Programmen bedroht. Darunter fallen wohl auch diverse Produkte von VMware.

VMware-Produkte betroffen

Der Anbieter VMware hat zum 10. Dezember 2021 bereits den Sicherheitshinweis VMSA-2021-0028 zur Apache Log4j Sicherheitslücke CVE-2021-44228 (Remotecodeausführung) veröffentlicht. Noch wird untersucht, aber VMware geht von folgenden betroffenen Produkten aus (siehe meine Ergänzung):

  • VMware Horizon
  • VMware vCenter Server
  • VMware HCX
  • VMware NSX-T Data Center
  • VMware Unified Access Gateway
  • VMware WorkspaceOne Access
  • VMware Identity Manager
  • VMware vRealize Operations
  • VMware vRealize Operations Cloud Proxy
  • VMware vRealize Automation
  • VMware vRealize Lifecycle Manager
  • VMware Site Recovery Manager, vSphere Replication
  • VMware Carbon Black Cloud Workload Appliance
  • VMware Carbon Black EDR Server
  • VMware Tanzu GemFire
  • VMware Tanzu Greenplum
  • VMware Tanzu Operations Manager
  • VMware Tanzu Application Service for VMs
  • VMware Tanzu Kubernetes Grid Integrated Edition
  • VMware Tanzu Observability by Wavefront Nozzle
  • Healthwatch for Tanzu Application Service
  • Spring Cloud Services for VMware Tanzu
  • Spring Cloud Gateway for VMware Tanzu
  • Spring Cloud Gateway for Kubernetes
  • API Portal for VMware Tanzu
  • Single Sign-On for VMware Tanzu Application Service
  • App Metrics
  • VMware vCenter Cloud Gateway
  • VMware vRealize Orchestrator
  • VMware Cloud Foundation
  • VMware Workspace ONE Access Connector
  • VMware Horizon DaaS
  • VMware Horizon Cloud Connector
  • VMware NSX Data Center for vSphere
  • VMware AppDefense Appliance
  • VMware Cloud Director Object Storage Extension
  • VMware Telco Cloud Operations
  • VMware vRealize Log Insight
  • VMware Tanzu Scheduler
  • (Additional products will be added)

VMware hat für die betreffenden Produkte Workarounds, bzw. Sicherheitsupdates veröffentlicht, die sich über den Sicherheitshinweis VMSA-2021-0028, sofern bereits verfügbar, ansehen oder herunterladen lassen.

Ergänzung: Zudem gibt es den Supportbeitrag VMware Response to CVE-2021-44228: Apache Log4j Remote Code Execution (87068) mit einer Liste von Produkten (z.B. VMware vSphere ESXi), die nicht troffen sein sollen (danke an den Blog-Leser für den Hinweis per Kommentar).

Ähnliche Artikel:
0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter
log4j-Schwachstelle CVE-2021-44228: Minecraft dringend patchen
VMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Virtualisierung abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu VMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht

  1. Vielleicht-hilfts-jemandem sagt:

    Hier wird herstellerübergreifend permanent deren Betroffen- oder Nichtbetroffensein gelistet:
    https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592, u.a. auch Dell, Cisco, Veeam, …

  2. 1ST1 sagt:

    Noch was, hängt aber nicht mit log4j zusammen, als ob man gerade nicht schon genug zu patchen hat, auch das noch… Bin gerade dabei, bei unseren sämtlichen Citrix virtuellen Desktops die Master-Images auf dem Provisioningserver durchzupatchen, Chrome Emergency-Update: https://chromereleases.googleblog.com/2021/12/stable-channel-update-for-desktop_13.html (und morgen oder so das selbe nochmal, da ist dann sicher Edge dran, aber es ist ja dann eh Patchday)

    • cram sagt:

      Ja und alle Exchange 2016 CU 21 Installationen müssen auch noch auf CU 22 aktualisiert werden. Falls am Ende des Jahres noch ein frisches CU kommt, gibts keine Updates mehr für CU 21.

      Bleibt spannend…

      • DW sagt:

        Aktuell wird es im Dezember seitens Microsoft kein geplantes CU geben. Wurde vor kurzem im offziellen Blog des Exchange Teams kommunziert.

        • cram sagt:

          Danke für die Information.

          Aber das hatten wir schon einmal. Es sollte keins geben und auf einmal "blub" war eins da. Deswegen lieber auf CU 22 aktualisieren und Weihnachten "Ruhe" haben.

          Aktuell steht anscheind auch kein Sicherheitsupdate für Exchange 2016 bereit. Im aktuellen Updatelauf (Patchday) gibt es nur KB5008207 (2021-12 Cumulative Update for Windows Server 2016 for x64-based Systems).

          • cram sagt:

            Exchange Team Blog,

            December 2021 Exchange Server Cumulative Updates postponed:

            "We wanted to let you know that we will not be releasing any Cumulative Updates (CUs) for Exchange Server in December. We will share more information about our next CU release at a later time."

    • Singlethreaded sagt:

      Wir graben uns auch gerade durch unsere Infrastruktur. Immerhin ist nichts betroffen, was aus dem Internet zu erreichen wäre. Das hilft schon mal etwas. Die ersten Hersteller haben auch schon Updates geliefert.
      Gibt aber noch eine ordentliche Liste zum abarbeiten und prüfen. Teilweise sind Lücken vorhanden, aber noch keine Patches. Bleibt spannend.

  3. Bolko sagt:

    Apache hat einen weiteren FIX für log4j veröffentlicht.
    log4j v2.16.0 (vorher war 2.15.0)

    logging[.]apache[.]org/log4j/2.x/changes-report.html#a2.16.0

Schreibe einen Kommentar zu cram Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.