Eine Sicherheitslücke zieht sich durch viele Systeme.
Viele fragen sich, was ist log4j und warum wirft das Thema gerade so hohe Wellen. Das lässt sich relativ einfach beantworten. Log4j ist vergleichbar mit dem Syslog-Protokoll. Darin werden alle Vorgänge dokumentiert, die innerhalb vom Java-Framework abgehandelt werden.
Was ist nun delikat daran? Es wurde eine Methode entdeckt, womit man dieses Modul missbrauchen kann, um Code direkt mit Systemrechten auszuführen. Sprich das Modul wird als Mule missbraucht und kann entsprechend genutzt werden, weiter Türchen zu öffnen, bis hin zum kompletten Systemzugriff.
VMware hat hier sehr schnell reagiert und bereits vor der grossen Welle die ersten KBs herausgegeben, um die Lücken zu schliessen, sprich wo log4j bei den Produkten vorhanden ist.
Hier eine kleine Zusammenfassung, wo welche Mitigation gefunden werden kann. Für die vRealize Suite ist das Upgrade auf die Version 8.6.2 zu empfehlen.
| Betroffene Produkte | https://www.vmware.com/security/advisories/VMSA-2021-0028.html |
| Nicht betroffene Produkte | https://kb.vmware.com/s/article/87068 |
| Produkt | VMware KB | Version | Mitigierte Version |
| vCenter | https://kb.vmware.com/s/article/87081 | 6.5.x – 7.0.x | |
| vRLI | https://kb.vmware.com/s/article/87089 | 8.1.1 – 8.6.1 | 8.6.2 |
| vROps | https://kb.vmware.com/s/article/87076 | 8.1.x – 8.6.1 | 8.6.2 |
| NSX-T | https://kb.vmware.com/s/article/87086 | <= 3.0.2 |