自然の赴くままに・そのときの 気分次第で・なんとなく

興味を持ったことを、なんとなく気の向くまま書いています。

VMSA-2021-0028 の情報 (VMSA-2021-0028.6 / 2021-12-21)

※VMSA-2021-0028 の情報が日々変わるので、マイナー番号が変わったら新しいページを起こすことにしました。VMSA-2021-0028.5 / 2021/12/20 はページを起こす前にVMSA-2021-0028.6 になったので、記録に残してありません。

f:id:imaisato:20211223050729p:plain

VMSA-2021-0028

Apache Log4jVMware 製品にも影響を及ぼしていますので要注意!!

Apache Log4j のセキュリティアラート CVE-2021-44228, CVE-2021-45046 にたいする情報として、VMware では VMwareVMware Security Solutions のページに、VMSA-2021-0028としてのセキュリティアラートを掲示しています。現在は 6回目の大きな情報更新として VMSA-2021-0028.6になっています。CVE-2021-45046 も CVSSv3 が 9.0 に引き上げられてしまいました。

なかなか完全終息に至っていませんが、以前のようにパッチもワークロードも追加情報としての KB もないというものはなくなりました。ただセキュリティ界隈では対策が遅れたところを悪用したその先の第二波があるのではといわれているので、可能な限り早めに対策をすることが必要かと思います。

影響を受ける製品は

非常に多くの製品が影響を受けました。まだ評価中のものもあるようで増え続ける可能性も残っています。今回の VMSA-2021-0028.4 から VMSA-2021-0028.6 に変わった際に追加されたプロダクトは VMware Smart Assurance M&R だけでした。

VMware でも進行中のイベントとして情報が頻繁更新されることがあるので、当該アドバイザリを確認するようにと書いてあります。

なぜ発生しているの

CVE-2021-44228 と CVE-2021-45046 によって特定された Apache Log4j の重大な脆弱性の影響で、それらを利用している VMware 製品に影響が出ているからです。Apache Log4jJava ベースのロギングできるライブラリで、設定でログ出力方法、出力先、フォーマット指定やフィルタリングをログレベルを指定しながら扱うことができます。そのため VMware のみならずログを収集して処理することが必要なところでは広く使われているものです。

現状は

現在は以下の通りです。一日の中でも頻繁に情報が変わるので、必ずVMSA-2021-0028 を参照して確認をしてください。以下の情報は 2021/12/23 5:00 に私が確認した時の情報です。

ロダクト

バージョン 対象 CVE Identifier CVSSv3 重大度 修正版 ワークロード 追加情報

VMware Horizon

8.x, 7.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

2111, 7.13.1, 7.10.3

KB87073

無し

VMware vCenter Server

7.x, 6.7.x, 6.5.x

Virtual Appliance

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87081

無し

VMware vCenter Server

6.7.x, 6.5.x

Windows

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87096

無し

VMware HCX

4.3

すべて

CVE-2021-44228, CVE-2021-45046

該当無

該当無

該当無

該当無

影響無

VMware HCX

4.2.x, 4.0.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

4.2.4

KB87104

無し

VMware HCX

4.1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

4.1.0.3

KB87104

無し

VMware NSX-T Data Center

3.x, 2.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

3.2

KB87086

無し

VMware Unified Access Gateway

21.x, 20.x, 3.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

2111.1

KB87092

無し

VMware Workspace ONE Access

21.x, 20.10.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

KB87183

KB87090

無し

VMware Identity Manager

3.3.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

KB87185

KB87093

無し

VMware vRealize Operations

8.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

8.6.2

KB87076

無し

VMware vRealize Operations Cloud Proxy

すべて

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87080

無し

VMware vRealize Automation

8.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87120

無し

VMware vRealize Automation

7.6

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87121

無し

VMware vRealize Lifecycle Manager

8.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87097

無し

VMware Carbon Black Cloud Workload Appliance

1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

1.1.2

UeX 109167

無し

VMware Carbon Black EDR Server

7.6.0, 7.5.x, 7.4.x, 7.3.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

UeX 109183

無し

VMware Site Recovery Manager, vSphere Replication

8.5, 8.4, 8.3

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

8.5.0.2, 8.4.0.4, 8.3.1.5

KB87098

無し

VMware Tanzu GemFire

9.10.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

9.10.13, 9.9.7

Article Number 13255

無し

VMware Tanzu GemFire for VMs

1.14.x, 1.13.x, 1.10.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

1.14.2, 1.13.5, 1.12.4, 1.10.9

Article Number 13262

無し

VMware Tanzu Greenplum

6.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

Article Number 13256

無し

VMware Tanzu Operations Manager

2.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

2.8.18, 2.9.25, 2.10.24

Article Number 13264

無し

VMware Tanzu Application Service for VMs

2.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

2.6.23, 2.7.44, 2.8.30, 2.9.30, 2.10.24, 2.11.12 and 2.12.5

Article Number 13265

無し

VMware Tanzu Kubernetes Grid Integrated Edition

1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

Article Number 13263

無し

VMware Tanzu Observability by Wavefront Nozzle

3.x, 2.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

3.0.4

回避策保留中

無し

Healthwatch for Tanzu Application Service

2.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

2.1.8

回避策保留中

無し

Healthwatch for Tanzu Application Service

1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

1.8.7

回避策保留中

無し

Spring Cloud Services for VMware Tanzu

3.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

3.1.27

無し

無し

Spring Cloud Services for VMware Tanzu

2.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

2.1.10

無し

無し

Spring Cloud Gateway for VMware Tanzu

1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

1.1.4, 1.0.19

回避策保留中

無し

Spring Cloud Gateway for Kubernetes

1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

1.0.7

回避策保留中

無し

API Portal for VMware Tanzu

1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

1.0.8

回避策保留中

無し

Single Sign-On for VMware Tanzu Application Service

1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

1.14.6

回避策保留中

無し

App Metrics

2.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

2.1.2

回避策保留中

無し

VMware vCenter Cloud Gateway

1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87081

無し

VMware vRealize Orchestrator

8.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87120

無し

VMware vRealize Orchestrator

7.6

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87122

無し

VMware Cloud Foundation

4.x, 3.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87095

無し

VMware Workspace ONE Access Connector (VMware Identity Manager Connector)

21.08.0.1, 21.08, 20.10, 19.03.0.1

Windows

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

KB87184

KB87091

無し

VMware Horizon DaaS

9.1.x, 9.0.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87101

無し

VMware Horizon Cloud Connector

1.x, 2.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

2.1.2

回避策保留中

無し

VMware NSX Data Center for vSphere

6.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87099

無し

VMware AppDefense Appliance

2.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

該当無

UeX 109180

無し

VMware Cloud Director Object Storage Extension

2.1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

2.1.0.1

KB87102

無し

VMware Cloud Director Object Storage Extension

2.0.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

2.0.0.3

KB87102

無し

VMware Telco Cloud Operations

1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

1.4.0.1

KB87143

無し

VMware vRealize Log Insight

8.2, 8.3, 8.4, 8.6

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

8.6.2

KB87089

無し

VMware Tanzu Scheduler

1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

1.6.1

Article Number 13280

無し

VMware Smart Assurance NCM

10.1.6

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87113

無し

VMware Smart Assurance SAM [Service Assurance Manager]

10.1.0.x, 10.1.2, 10.1.5,

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87119

無し

VMware Integrated OpenStack

7.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87118

無し

VMware vRealize Business for Cloud

7.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87127

無し

VMware vRealize Network Insight

5.3, 6.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87135

無し

VMware Cloud Provider Lifecycle Manager

1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

1.2.0.1

KB87142

無し

VMware SD-WAN VCO

4.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87158

無し

VMware NSX-T Intelligence Appliance

1.2.x, 1.1.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87150

無し

VMware Horizon Agents Installer

21.x.x, 20.x.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

KB87157

KB87157

無し

VMware Tanzu Observability Proxy

10.x

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

10.12

Article Number 13272

無し

VMware Smart Assurance M&R

6.8u5, 7.0u8, 7.2.0.1

すべて

CVE-2021-44228, CVE-2021-45046

10.0, 9.0

重大

パッチ保留中

KB87161

無し

参考文献

FIRST CVSSv3 Calculator:

CVE-2021-44228

CVE-2021-45046

Mitre CVE Dictionary Links:

CVE-2021-44228

CVE-2021-45046

変更ログ

オリジナルの VMSA-2021-0028 の変更ログです。細かい変更はログとして公開されていませんでした。

2021-12-10: VMSA-2021-0028

Initial security advisory.

2021-12-11: VMSA-2021-0028.1

Updated advisory with workaround information for multiple products including vCenter Server Appliance, vRealize Operations, Horizon, vRealize Log Insight, Unified Access Gateway.

2021-12-13: VMSA-2021-0028.2

Revised advisory with updates to multiple products.

2021-12-15: VMSA-2021-0028.3

Revised advisory with updates to multiple products. In addition, added CVE-2021-45046 information and noted alignment with new Apache Software Foundation guidance. 

2021-12-17:VMSA-2021-0028.4

Revised advisory with updates to multiple products.

2021-12-20: VMSA-2021-0028.5

Added a note on current CVE-2021-45105 investigations.

2021-12-21: VMSA-2021-0028.6

Revised advisory with updates to multiple products, including vRealize Operations and vRealize Log Insight.

 

早くパッチが出て解消してくれることを願うだけですね。