※VMSA-2021-0028.4 になっているので、別ページに移行します。
VMware 製品を使用している人は要注意!!
現在 VMware のVMware Security Solutions のページに、VMSA-2021-0028としてのセキュリティアラートが出ています。現時点では回避策がない事案なので、VMware 製品を使っている人は要注意です。
詳細はVMSA-2021-0028を参照ください。(現在はCVE-2021-45046の件も加わったので、VMSA-2021-0028.3になっています。それに伴いこのページの情報も修正しています。オリジナルのVMSA-2021-0028の変更ログは最後に記載しました。)
※2021年12月16日8時確認の情報です。
2021年12月15日15時にはまだ残っていたパッチが、18時にはすべて消されました。何か問題があったようです。
VMware HCX、VMware vRealize Automation、Healthwatch for Tanzu Application Service、VMware vRealize Orchestrator、VMware Cloud Director Object Storage Extension は、バージョンごとの対応に代わっています。VMware Tanzu SQL with MySQL for VMs、VMware Telco Cloud Automation がリストから消えました。(この記事には消し線で残してあります。)VMware Tanzu GemFire は情報が変わりました。VMware vRealize Log Insight は一度消えて最後にバージョンが指定の上再度追加されています。
だいぶパッチが出てきています。パッチか KB のどちらも情報がないものは、今時点では Spring Cloud Gateway for Kubernetes と VMware Telco Cloud Operations だけになりました。
影響を受ける製品は
以下の製品が影響を受けます。まだ評価中なので増え続ける可能性も残っています。
- VMware Horizon
- VMware vCenter Server
- VMware HCX
- VMware NSX-T Data Center
- VMware Unified Access Gateway
- VMware WorkspaceOne Access
- VMware Identity Manager
- VMware vRealize Operations
- VMware vRealize Operations Cloud Proxy
- VMware vRealize Log Insight
- VMware vRealize Automation
- VMware vRealize Lifecycle Manager
- VMware Telco Cloud Automation
- VMware Site Recovery Manager
- VMware Carbon Black Cloud Workload Appliance
- VMware Carbon Black EDR Server
- VMware Tanzu GemFire
- VMware Tanzu Greenplum
- VMware Tanzu Operations Manager
- VMware Tanzu Application Service for VMs
- VMware Tanzu Kubernetes Grid Integrated Edition
- VMware Tanzu Observability by Wavefront Nozzle
- Healthwatch for Tanzu Application Service
- Spring Cloud Services for VMware Tanzu
- Spring Cloud Gateway for VMware Tanzu
- Spring Cloud Gateway for Kubernetes
- API Portal for VMware Tanzu
- Single Sign-On for VMware Tanzu Application Service
- App Metrics
- VMware vCenter Cloud Gateway
- VMware Tanzu SQL with MySQL for VMs
- vRealize Orchestrator
- VMware Cloud Foundation
- VMware Workspace ONE Access Connector
- VMware Horizon DaaS
- VMware Horizon Cloud Connector
- VMware NSX Data Center for vSphere
- VMware AppDefense Appliance
- VMware Cloud Director Object Storage Extension
- VMware Telco Cloud Operations
- VMware vRealize Log Insight
- VMware Tanzu Scheduler
- VMware Smart Assurance NCM
- VMware Smart Assurance SAM [Service Assurance Manager]
- VMware Integrated OpenStack
- VMware vRealize Business for Cloud
- VMware vRealize Network Insight
- VMware Cloud Provider Lifecycle Manager
- VMware SD-WAN VCO
- VMware SD-WAN Edge Network Intelligence
なぜ発生しているの
CVE-2021-44228によって特定されたApacheLog4jの重大な脆弱性の影響で、それに関連する VMware 製品に影響が出ているからです。また、VMSA-2021-0028.3 になったのは、CVE-2021-45046によって特定された重大度の低い脆弱性が公開されたのでそれにも対応したためとなっています。なので、まだまだ影響範囲が広がる恐れがありますので、注視と場合によっては対応策が出れば対応が必要です。
VMware でも進行中のイベントとして情報が頻繁更新されることがあるので、当該アドバイザリを確認するようにと書いてあります。
現状は
現在は以下の通りのようです。VMSA-2021-0028からいくつか追加や修正があります。(最新の情報はリンクから確認してください。)
なお、VMSA-2021-0028.2までは CVSSv3 とかにもリンクが張られており、ちょっとしたクリックでその画面に飛ばされていましたが、それがなくなり KB など必要なところへのリンクだけに代わっていますので、このブログも同じように直すとともに、過去履歴のように残してあった消し線の部分も見やすいように削除してあります。
プロダクト | バージョン | 対象 | CVE Identifier | CVSSv3 | 重大度 | 修正版 | ワークロード | 追加情報 | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
VMware Horizon | 8.x, 7.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87073 | 無し | ||||||||
VMware vCenter Server | 7.x, 6.7.x, 6.5.x | Virtual Appliance | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87081 | 無し | ||||||||
6.7.x, 6.5.x | Windows | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87096 | 無し | |||||||||
VMware HCX | 4.2.x, 4.0.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87104 | 無し | ||||||||
4.1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87104 | 無し | |||||||||
VMware NSX-T Data Center | 3.x, 2.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87086 | 無し | ||||||||
VMware Unified Access Gateway | 21.x, 20.x, 3.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87092 | 無し | ||||||||
VMware Workspace ONE Access | 21.x, 20.10.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87090 | 無し | ||||||||
VMware Identity Manager | 3.3.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87093 | 無し | ||||||||
VMware vRealize Operations | 8.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87076 | 無し | ||||||||
VMware vRealize Operations Cloud Proxy | Any | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87080 | 無し | ||||||||
VMware vRealize Automation | 8.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87120 | 無し | ||||||||
VMware vRealize Automation | 7.6 | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87121 | 無し | ||||||||
VMware vRealize Lifecycle Manager | 8.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87097 | 無し | ||||||||
VMware Carbon Black Cloud Workload Appliance | 1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | UeX 109167 | 無し | ||||||||
VMware Carbon Black EDR Server | 7.6.0, 7.5.x, 7.4.x, 7.3.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | UeX 109183 | 無し | ||||||||
VMware Site Recovery Manager, vSphere Replication | 8.3, 8.4, 8.5 | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87098 | 無し | ||||||||
VMware Tanzu GemFire | 9.10.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | Article Number 13255 | 無し | ||||||||
VMware Tanzu GemFire for VMs | 1.14.x, 1.13.x, 1.10.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | Article Number 13262 | 無し | ||||||||
VMware Tanzu Greenplum | 6.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | Article Number 13256 | 無し | ||||||||
VMware Tanzu Operations Manager | 2.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | Article Number 13264 | 無し | ||||||||
VMware Tanzu Application Service for VMs | 2.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | Article Number 13265 | 無し | ||||||||
VMware Tanzu Kubernetes Grid Integrated Edition | 1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | Article Number 13263 | 無し | ||||||||
VMware Tanzu Observability by Wavefront Nozzle | 3.x, 2.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | 回避策保留中 | 無し | ||||||||
Healthwatch for Tanzu Application Service | 2.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | 回避策保留中 | 無し | ||||||||
1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | 回避策保留中 | 無し | |||||||||
Spring Cloud Services for VMware Tanzu | 3.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | 3.1.27 | 無し | 無し | ||||||||
2.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | 2.1.10 | 無し | 無し | |||||||||
Spring Cloud Gateway for VMware Tanzu | 1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | 回避策保留中 | 無し | ||||||||
Spring Cloud Gateway for Kubernetes | 1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | 1.0.7 | 回避策保留中 | 無し | ||||||||
API Portal for VMware Tanzu | 1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | 回避策保留中 | 無し | ||||||||
Single Sign-On for VMware Tanzu Application Service | 1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | 回避策保留中 | 無し | ||||||||
App Metrics | 2.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | 回避策保留中 | 無し | ||||||||
VMware vCenter Cloud Gateway | 1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87081 | 無し | ||||||||
VMware vRealize Orchestrator | 8.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87120 | 無し | ||||||||
7.6 | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87122 | 無し | |||||||||
VMware Cloud Foundation | 4.x, 3.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87095 | 無し | ||||||||
VMware Workspace ONE Access Connector (VMware Identity Manager Connector) | 21.x, 20.10.x, 19.03.0.1 | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87091 | 無し | ||||||||
VMware Horizon DaaS | 9.1.x, 9.0.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87101 | 無し | ||||||||
VMware Horizon Cloud Connector | 1.x, 2.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | 回避策保留中 | 無し | ||||||||
VMware NSX Data Center for vSphere | 6.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87099 | 無し | ||||||||
VMware AppDefense Appliance | 2.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | UeX 109180 | 無し | ||||||||
VMware Cloud Director Object Storage Extension | 2.1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | 回避策保留中 | 無し | ||||||||
2.0.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87102 | 無し | |||||||||
VMware Telco Cloud Operations | 1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87143 | 無し | ||||||||
VMware vRealize Log Insight | 8.2, 8.3, 8.4, 8.6 | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87089 | 無し | ||||||||
VMware Tanzu Scheduler | 1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | 1.6.1 | Article Number 13280 | 無し | ||||||||
VMware Smart Assurance NCM | 10.1.6 | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87113 | 無し | ||||||||
VMware Smart Assurance SAM [Service Assurance Manager] | 10.1.2, 10.1.5 | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87119 | 無し | ||||||||
VMware Integrated OpenStack | 7.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87118 | 無し | ||||||||
VMware vRealize Business for Cloud | 7.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87127 | 無し | ||||||||
VMware vRealize Network Insight | 5.3, 6.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | KB87135 | 無し | ||||||||
VMware Cloud Provider Lifecycle Manager | 1.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | 1.2.0.1 | KB87142 | 無し | ||||||||
VMware SD-WAN VCO | 4.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | 回避策保留中 | 無し | ||||||||
VMware SD-WAN Edge Network Intelligence | 4.x | Any | CVE-2021-44228, CVE-2021-45046 | 10.0, 3.7 | 重大■ | パッチ保留中 | 回避策保留中 | 無し | ||||||||
変更ログ
オリジナルの VMSA-2021-0028 の変更ログです。細かい変更はログとして公開されていませんでした。
2021-12-10: VMSA-2021-0028
Initial security advisory.
2021-12-11: VMSA-2021-0028.1
Updated advisory with workaround information for multiple products including vCenter Server Appliance, vRealize Operations, Horizon, vRealize Log Insight, Unified Access Gateway.
2021-12-13: VMSA-2021-0028.2
Revised advisory with updates to multiple products.
2021-12-15: VMSA-2021-0028.3
Revised advisory with updates to multiple products. In addition, added CVE-2021-45046 information and noted alignment with new Apache Software Foundation guidance.
早くパッチが出て解消してくれることを願うだけですね。