巷を騒がしているCVEスコア満点を記録したApache Log4jの脆弱性「CVE-2021-44228」追加修正で「CVE-2021-45046」のVMware製品の対策についてまとめてみました。
影響を受ける製品については既にVMware社から情報がでていますのでご確認ください。
現状修正プログラムの提供はされていませんが、今回の脆弱性の原因となるLookupを無効化にする回避策が案内されているものが多くあります。
更新履歴
2/9: vSphere 6.5,6.7が修正されたので更新。
1/28: vCenter 7.0 U3cで修正されたので追記。vRealzie Automation8.x,vRealize Network Insight更新。
12/24: NSX-T 3.1.x,3.0.x,2.5.xの修正バージョンがリリースされたので追記
12/23: NSX Data Center for vSphereの修正バージョンがリリースされたので追記
12/22: vRealize Operations,vRealize LogInsightの修正バージョンがリリースされたので追記。
12/21: NSX-Tについての修正を追記。VMware社の公式ページのNotesで関連する脆弱性CVE-2021-45105 についてのアナウンスが追加されています。
12/20: CVE-2021-45046についての修正も含んだものに修正
12/15: vRealize Network Insightの回避策が公開されたので追記。
12/14: vRealize Automationの回避策が公開されたので追記。HCXの修正バージョンがリリースされたので追記。
12/13: Horizon Cloud Connector,NSX Data Center for vSphereを追記、脆弱性の影響がない製品のKBを追記。HCXの回避策が変更されたので追記。Windows版vCenterの回避策が公開されたので追記。SRM,vSphere Replicationの回避策が追記されたので追記。
12/12: 初版リリース
- 更新履歴
- ◆脆弱性の影響がない製品
- ◆脆弱性に関する修正が完了している製品
- ◆vCenter Server仮想アプライアンス版(対象バージョン: 7.x)
- ◆vCenter Server仮想アプライアンス版(対象バージョン: 6.x)
- ◆vCenter Server Windows版(対象バージョン: 6.x)
- ◆Horizon製品(対象バージョン: 8.x,7.x)
- ◆Horizon Cloud Connector (対象バージョン: 2.1以前)
- ◆Unified Access Gateway(UAG)製品(対象バージョン: 21.x, 20.x, 3.x)
- ◆VMware HCX
- ◆VMware Site Recovery Manager, vSphere Replication(対象バージョン: 8.x)
- ◆Workspace ONE Access Connector(対象バージョン: 21.08.0.1,21.08,20.10,19.03.0.1)
- ◆Horizon Cloud Connector(対象バージョン: 1.x, 2.x)
- ◆VMware NSX-T(対象バージョン: 3.x,2.x)
- ◆VMware NSX Data Center for vSphere (対象バージョン: 6.x)
- ◆VMware vRealize Operations(対象バージョン: 8.x)
- ◆VMware vRealize Log Insight(対象バージョン: 8.x)
- ◆VMware vRealize Network Insight(対象バージョン:6.x)
- ◆VMware vRealize Automation(対象バージョン: 8.x)
◆脆弱性の影響がない製品
この脆弱性の影響がない製品については既に発表済みです。
https://kb.vmware.com/s/article/87068
◆脆弱性に関する修正が完了している製品
◆vCenter Server仮想アプライアンス版(対象バージョン: 7.x)
1/28に修正済みの7.0U3cがリリースされました。
リリースノートによると修正済みのLog4j 2.1.7が採用されているようです。
VMware vCenter Server 7.0 Update 3c Release Notes
◆vCenter Server仮想アプライアンス版(対象バージョン: 6.x)
修正された6.7U3q,6.5U3sがリリースされています。
VMware vCenter Server 6.7 Update 3q Release Notes
VMware vCenter Server 6.5 Update 3s Release Notes
vCenter Serverを構成する複数のサービスで回避策の実行が必要です。
https://kb.vmware.com/s/article/87081
◆vCenter Server Windows版(対象バージョン: 6.x)
修正された6.7U3q,6.5U3sがリリースされています。
VMware vCenter Server 6.7 Update 3q Release Notes
VMware vCenter Server 6.5 Update 3s Release Notes
PSCの構成等によって異なる回避策の実行が案内されています。
https://kb.vmware.com/s/article/87096?lang=en_US
◆Horizon製品(対象バージョン: 8.x,7.x)
修正された、2111, 7.13.1, 7.10.3がリリースされています。
Horizonのリリースノートは更新されていませんが、個別のバイナリファイルはビルドが更新されています。
Horizon AgentとConnection Serverにそれぞれ回避策の実行が必要です。
UAGに関しては別KBとして回避策が案内されています。
https://kb.vmware.com/s/article/87073
◆Horizon Cloud Connector (対象バージョン: 2.1以前)
12/12に脆弱性対策がされた2.1.1がリリースされています。
12/16の最新版2.1.2で修正済みです。
◆Unified Access Gateway(UAG)製品(対象バージョン: 21.x, 20.x, 3.x)
修正版、2111.1がリリースされています。
Unified Access Gateway 2111.1 Release Notes
回避策の実行には2009以前のバージョンを利用している場合は、バージョンアップが必要と案内されています。
https://kb.vmware.com/s/article/87073
バージョンアップの際にはUAGとその他コンポーネントの互換性についても注意が必要です。
Product Interoperability Matrix
◆VMware HCX
HCXの場合マネージドサービスとなっているため、直接仮想アプライアンス内の設定を変更することはできないためファイアウォール設定の推奨設定が案内されています。
12/13現在は回避策の提供はなし。
最新版の4.3では脆弱性に関する修正は対応済みです。
修正バージョン4.2.4,4.1.0.3がリリースされています。
https://kb.vmware.com/s/article/87104
◆VMware Site Recovery Manager, vSphere Replication(対象バージョン: 8.x)
12/13現在は回避策の提供なし
最新版8.5.0.2,8.4.0.4,8.3.1.5が修正バージョンとしてリリースされています。
VMware Site Recovery Manager 8.5.0.2 Release Notes
SRM,vSphere Replicationで構成される仮想アプライアンス内で回避策の実行が案内されています。
https://kb.vmware.com/s/article/87098
◆Workspace ONE Access Connector(対象バージョン: 21.08.0.1,21.08,20.10,19.03.0.1)
Workspace ONE Access SaaS版を利用している場合でもディレクトリ同期のためにConnectorを利用している場合にはバージョンアップまたは回避策の適用が必要です。
修正するにはパッチを適用する必要があります。
https://kb.vmware.com/s/article/87184
回避策はこちら。
https://kb.vmware.com/s/article/87091
◆Horizon Cloud Connector(対象バージョン: 1.x, 2.x)
Horizon CloudとオンプレミスHorizonを接続するためのHorizon Cloud Connectorもバージョンアップが必要です。
修正バージョン2.1.2がリリースされています。
https://customerconnect.vmware.com/downloads/get-download?downloadGroup=HCS-CC-212
◆VMware NSX-T(対象バージョン: 3.x,2.x)
最新版のNSX-T 3.2で修正済みです。
VMware NSX-T Data Center 3.2 Release Notes
3.2以外のメジャーバージョンに関しても修正版がリリースされました。
VMware NSX-T Data Center 3.1.3.5 Release Notes
VMware NSX-T Data Center 3.0.3.1 Release Notes
VMware NSX-T Data Center 2.5.3.4 Release Notes
NSX Managerで回避策の実行が案内されています。
設定ファイル名のtanukiが気になりすぎる…。
https://kb.vmware.com/s/article/87086
◆VMware NSX Data Center for vSphere (対象バージョン: 6.x)
最新版の6.4.12で修正済みです。
VMware NSX Data Center for vSphere 6.4.12 Release Notes
NSX-T同様の回避策の実行が案内されています。
https://kb.vmware.com/s/article/87099
◆VMware vRealize Operations(対象バージョン: 8.x)
最新版の8.6.2で修正済みです。
vRealize Operations 8.6.2 Release Notes
非常にわかりにくいのですが、KBから添付ファイルをダウンロードして各ノードで回避策を実行する必要があります。
https://kb.vmware.com/s/article/87076
◆VMware vRealize Log Insight(対象バージョン: 8.x)
最新版の8.6.2で修正済みです。
vRealize Log Insight 8.6.2 Release Notes
vRealize Operations同様、KBから添付ファイルをダウンロードして各ノードで回避策を実行する必要があります。
https://kb.vmware.com/s/article/87089
◆VMware vRealize Network Insight(対象バージョン:6.x)
1/13に修正済みの6.5がリリースされています。
VMware vRealize Network Insight 6.5 Release Notes
ようやく回避策の案内がでました。Elastic Searchが使われているPlatformノードで回避策を実行する必要があるようです。
https://kb.vmware.com/s/article/87135
◆VMware vRealize Automation(対象バージョン: 8.x)
12/13現在は回避策の提供なし
1/18に修正済みの8.6.2がリリースされています。
VMware vRealize Automation 8.6.2 Release Notes
本記事ですべての製品の情報を提供しているわけではありません。
必ずオリジナルのVMware社の情報と合わせてご確認ください。
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
ソリューションアーキテクト: 工藤真臣
仮想化関連製品以外でも、プリセールスから、何でも相談室、障害対応まで何でもこなす雑食系アーキテクト。VCAP-DCA+DCD+CID vExpert 2012-2022