VMSA-2021-0028 の情報 (VMSA-2021-0028.4 / 2021-12-17) - 自然の赴くままに・そのときの気分次第で・なんとなく

※VMSA-2021-0028 の情報が日々変わるのですが、CVE-2021-44228, CVE-2021-45046 の2つの対策になってきたのと、さらに情報が変わってきたので別ページに移行しました。

f:id:imaisato:20211219162523p:plain — Critical と N/A

Apache Log4j は VMware 製品にも影響を及ぼしていますので要注意！！

Apache Log4j のセキュリティアラート CVE-2021-44228, CVE-2021-45046 にたいする情報として、VMware では VMware のVMware Security Solutions のページに、VMSA-2021-0028としてのセキュリティアラートを掲示しています。現在は 4回目の大きな情報更新として VMSA-2021-0028.4になっていますが、なかなか完全終息に至っていませんが、以前のようにパッチもワークロードも追加情報としての KB もないというものはなくなりました。ただセキュリティ界隈では対策が遅れたところを悪用したその先の第二波があるのではといわれているので、可能な限り早めに対策をすることが必要かと思います。

影響を受ける製品は

非常に多くの製品が影響を受けました。まだ評価中のものもあるようで増え続ける可能性も残っています。

VMware Horizon
VMware vCenter Server
VMware HCX
VMware NSX-T Data Center
VMware Unified Access Gateway
VMware WorkspaceOne Access
VMware Identity Manager
VMware vRealize Operations
VMware vRealize Operations Cloud Proxy
VMware vRealize Automation
VMware vRealize Lifecycle Manager
VMware Site Recovery Manager, vSphere Replication
VMware Carbon Black Cloud Workload Appliance
VMware Carbon Black EDR Server
VMware Tanzu GemFire
VMware Tanzu GemFire for VMs
VMware Tanzu Greenplum
VMware Tanzu Operations Manager
VMware Tanzu Application Service for VMs
VMware Tanzu Kubernetes Grid Integrated Edition
VMware Tanzu Observability by Wavefront Nozzle
Healthwatch for Tanzu Application Service
Spring Cloud Services for VMware Tanzu
Spring Cloud Gateway for VMware Tanzu
Spring Cloud Gateway for Kubernetes
API Portal for VMware Tanzu
Single Sign-On for VMware Tanzu Application Service
App Metrics
VMware vCenter Cloud Gateway
VMware vRealize Orchestrator
VMware Cloud Foundation
VMware Workspace ONE Access Connector
VMware Horizon DaaS
VMware Horizon Cloud Connector
VMware NSX Data Center for vSphere
VMware AppDefense Appliance
VMware Cloud Director Object Storage Extension
VMware Telco Cloud Operations
VMware vRealize Log Insight
VMware Tanzu Scheduler
VMware Smart Assurance NCM
VMware Smart Assurance SAM [Service Assurance Manager]
VMware Integrated OpenStack
VMware vRealize Business for Cloud
VMware vRealize Network Insight
VMware Cloud Provider Lifecycle Manager
VMware SD-WAN VCO
VMware NSX-T Intelligence Appliance
VMware Horizon Agents Installer
VMware Tanzu Observability Proxy

VMware でも進行中のイベントとして情報が頻繁更新されることがあるので、当該アドバイザリを確認するようにと書いてあります。

なぜ発生しているの

CVE-2021-44228 と CVE-2021-45046 によって特定された Apache Log4j の重大な脆弱性の影響で、それらを利用している VMware 製品に影響が出ているからです。Apache Log4j は Java ベースのロギングできるライブラリで、設定でログ出力方法、出力先、フォーマット指定やフィルタリングをログレベルを指定しながら扱うことができます。そのため VMware のみならずログを収集して処理することが必要なところでは広く使われているものです。

現状は

現在は以下の通りです。一日の中でも頻繁に情報が変わるので、必ずVMSA-2021-0028 を参照して確認をしてください。以下の情報は 2021/12/19 17:00 に私が確認した時の情報です。

プロダクト	バージョン	対象	CVE Identifier	CVSSv3	重大度	修正版	ワークロード	追加情報
VMware Horizon	8.x, 7.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	2111, 7.13.1, 7.10.3	KB87073	無し

VMware vCenter Server	7.x, 6.7.x, 6.5.x	Virtual Appliance	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87081	無し

VMware vCenter Server	6.7.x, 6.5.x	Windows	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87096	無し

VMware HCX	4.3	すべて	CVE-2021-44228, CVE-2021-45046	該当無	該当無	該当無	該当無	影響無
VMware HCX	4.2.x, 4.0.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87104	無し

VMware HCX	4.1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87104	無し

VMware NSX-T Data Center	3.x, 2.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87086	無し

VMware Unified Access Gateway	21.x, 20.x, 3.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	2111.1	KB87092	無し

VMware Workspace ONE Access	21.x, 20.10.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	KB87183	KB87090	無し

VMware Identity Manager	3.3.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	KB87185	KB87093	無し

VMware vRealize Operations	8.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87076	無し

VMware vRealize Operations Cloud Proxy	すべて	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87080	無し

VMware vRealize Automation	8.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87120	無し

VMware vRealize Automation	7.6	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87121	無し

VMware vRealize Lifecycle Manager	8.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87097	無し

VMware Carbon Black Cloud Workload Appliance	1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	1.1.2	UeX 109167	無し

VMware Carbon Black EDR Server	7.6.0, 7.5.x, 7.4.x, 7.3.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	UeX 109183	無し

VMware Site Recovery Manager, vSphere Replication	8.5, 8.4, 8.3	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	8.5.0.2, 8.4.0.4, 8.3.1.5	KB87098	無し

VMware Tanzu GemFire	9.10.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	9.10.13, 9.9.7	Article Number 13255	無し

VMware Tanzu GemFire for VMs	1.14.x, 1.13.x, 1.10.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	1.14.2, 1.13.5, 1.12.4, 1.10.9	Article Number 13262	無し

VMware Tanzu Greenplum	6.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	Article Number 13256	無し

VMware Tanzu Operations Manager	2.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	2.8.18, 2.9.25, 2.10.24	Article Number 13264	無し

VMware Tanzu Application Service for VMs	2.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	2.6.23, 2.7.44, 2.8.30, 2.9.30, 2.10.24, 2.11.12 and 2.12.5	Article Number 13265	無し

VMware Tanzu Kubernetes Grid Integrated Edition	1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	Article Number 13263	無し

VMware Tanzu Observability by Wavefront Nozzle	3.x, 2.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	3.0.4	回避策保留中	無し

Healthwatch for Tanzu Application Service	2.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	2.1.8	回避策保留中	無し

Healthwatch for Tanzu Application Service	1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	1.8.7	回避策保留中	無し

Spring Cloud Services for VMware Tanzu	3.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	3.1.27	無し	無し

Spring Cloud Services for VMware Tanzu	2.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	2.1.10	無し	無し

Spring Cloud Gateway for VMware Tanzu	1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	1.1.4, 1.0.19	回避策保留中	無し

Spring Cloud Gateway for Kubernetes	1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	1.0.7	回避策保留中	無し

API Portal for VMware Tanzu	1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	1.0.8	回避策保留中	無し

Single Sign-On for VMware Tanzu Application Service	1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	1.14.6	回避策保留中	無し

App Metrics	2.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	2.1.2	回避策保留中	無し

VMware vCenter Cloud Gateway	1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87081	無し

VMware vRealize Orchestrator	8.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87120	無し

VMware vRealize Orchestrator	7.6	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87122	無し

VMware Cloud Foundation	4.x, 3.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87095	無し

VMware Workspace ONE Access Connector (VMware Identity Manager Connector)	21.08.0.1, 21.08, 20.10, 19.03.0.1	Windows	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	KB87184	KB87091	無し

VMware Horizon DaaS	9.1.x, 9.0.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87101	無し

VMware Horizon Cloud Connector	1.x, 2.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	2.1.2	回避策保留中	無し

VMware NSX Data Center for vSphere	6.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87099	無し

VMware AppDefense Appliance	2.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	該当無	UeX 109180	無し

VMware Cloud Director Object Storage Extension	2.1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	2.1.0.1	KB87102	無し

VMware Cloud Director Object Storage Extension	2.0.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	2.0.0.3	KB87102	無し

VMware Telco Cloud Operations	1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87143	無し

VMware vRealize Log Insight	8.2, 8.3, 8.4, 8.6	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87089	無し

VMware Tanzu Scheduler	1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	1.6.1	Article Number 13280	無し

VMware Smart Assurance NCM	10.1.6	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87113	無し

VMware Smart Assurance SAM [Service Assurance Manager]	10.1.0.x, 10.1.2, 10.1.5,	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87119	無し

VMware Integrated OpenStack	7.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87118	無し

VMware vRealize Business for Cloud	7.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87127	無し

VMware vRealize Network Insight	5.3, 6.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87135	無し

VMware Cloud Provider Lifecycle Manager	1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	1.2.0.1	KB87142	無し

VMware SD-WAN VCO	4.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87158	無し

VMware NSX-T Intelligence Appliance	1.2.x, 1.1.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	パッチ保留中	KB87150	無し

VMware Horizon Agents Installer	21.x.x, 20.x.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	KB87157	KB87157	無し

VMware Tanzu Observability Proxy	10.x	すべて	CVE-2021-44228, CVE-2021-45046	10.0, 9.0	重大■	10.12	Article Number 13272	無し

変更ログ

オリジナルの VMSA-2021-0028 の変更ログです。細かい変更はログとして公開されていませんでした。

2021-12-10: VMSA-2021-0028

Initial security advisory.

2021-12-11: VMSA-2021-0028.1

Updated advisory with workaround information for multiple products including vCenter Server Appliance, vRealize Operations, Horizon, vRealize Log Insight, Unified Access Gateway.

2021-12-13: VMSA-2021-0028.2

Revised advisory with updates to multiple products.

2021-12-15: VMSA-2021-0028.3

Revised advisory with updates to multiple products. In addition, added CVE-2021-45046 information and noted alignment with new Apache Software Foundation guidance.

2021-12-17：VMSA-2021-0028.4

Revised advisory with updates to multiple products.

このページも .4 に合わせて新しくしました。

早くパッチが出て解消してくれることを願うだけですね。