VMware Horizon
VMware vCenter Server
VMware HCX
VMware NSX-T Data Center
VMware Unified Access Gateway
VMware WorkspaceOne Access
VMware Identity Manager
VMware vRealize Operations
VMware vRealize Operations Cloud (Cloud Proxy)
VMware vRealize Automation
VMware vRealize Lifecycle Manager
VMware Site Recovery Manager, vSphere Replication
VMware Carbon Black Cloud Workload Appliance
VMware Carbon Black EDR Server
VMware Tanzu GemFire
VMware Tanzu GemFire for VMs
VMware Tanzu Greenplum Platform Extension Framework
Greenplum Text
VMware Tanzu Operations Manager
VMware Tanzu Application Service for VMs
VMware Tanzu Kubernetes Grid Integrated Edition
VMware Tanzu Observability by Wavefront Nozzle
Healthwatch for Tanzu Application Service
Spring Cloud Services for VMware Tanzu
Spring Cloud Gateway for VMware Tanzu
Spring Cloud Gateway for Kubernetes
API Portal for VMware Tanzu
Single Sign-On for VMware Tanzu Application Service
App Metrics
VMware vCenter Cloud Gateway
VMware vRealize Orchestrator
VMware Cloud Foundation
VMware Workspace ONE Access Connector
VMware Horizon DaaS
VMware Horizon Cloud Connector
VMware NSX Data Center for vSphere
VMware AppDefense Appliance
VMware Cloud Director Object Storage Extension
VMware Telco Cloud Operations
VMware vRealize Log Insight
VMware Tanzu Scheduler
VMware Smart Assurance NCM
VMware Smart Assurance SAM [Service Assurance Manager]
VMware Integrated OpenStack
VMware vRealize Business for Cloud
VMware vRealize Network Insight
VMware Cloud Provider Lifecycle Manager
VMware SD-WAN VCO
VMware NSX-T Intelligence Appliance
VMware Horizon Agents Installer
VMware Tanzu Observability Proxy
VMware Smart Assurance M&R
VMware Harbor Container Registry for TKGI
VMware vRealize Operations Tenant App for VMware Cloud Director
VMware 제품에 영향을 미치는 CVE-2021-44228 및 CVE-2021-45046으로 식별된 Apache Log4j의 치명적인 취약점이 공개되었습니다.
Common Vulnerabilities and Exposures project(cve.mitre.org)는 이 문제에 식별자 CVE-2021-44228을 할당했습니다.
Apache Log4j를 통한 원격 코드 실행 취약점의 영향을 받는 여러 제품(CVE-2021-44228, CVE-2021-45046).
영향을 받는 VMware 제품에 대한 네트워크 액세스 권한이 있는 악의적인 행위자는 이러한 문제를 악용하여 대상 시스템을 완전히 제어할 수 있습니다.
CVE-2021-44228 및 CVE-2021-45046에 대한 수정 사항은 아래 '응답 매트릭스'의 '고정 버전' 열에 설명되어 있습니다.
해결 방법
CVE-2021-44228 및 CVE-2021-45046에 대한 해결 방법은 아래 '응답 매트릭스'의 '해결 방법' 열에 설명되어 있습니다.
- 2021/12/10 : CVE-2021-44228의 악용 시도가 VMware에 의해 확인되었습니다.
- 2021/12/11 : 추가 설명을 위해 보충 블로그 게시물 및 자주 묻는 질문 목록이 생성되었습니다. 참조: https://via.vmw.com/vmsa-2021-0028-faq
- 2021/12/13 : 영향을 받지 않는 VMware 제품은 기술 자료 문서( https://kb.vmware.com/s/article/87068) 에서 참조할 수 있습니다.
- 2021/12/14: Apache Software Foundation은 CVE-2021-44228 해결 방법에 대한 초기 지침이 가능한 모든 공격 벡터를 제거하는 데 충분하지 않다고 커뮤니티에 알렸습니다. 또한 CVE-2021-45046으로 식별된 새로운 취약점이 게시되었습니다. 이에 대응하여 VMware는 새로운 지침에 따라 두 취약점을 완전히 해결하기 위한 해결 방법 및 수정 사항으로 관련 문서를 업데이트할 것입니다.
- 2021/12/17 : Apache Software Foundation은 권고를 조정한 결과 CVE-2021-45046의 심각도를 9.0으로 업데이트했습니다.
- 2022/01/07 : CVE-2021-45105 및 CVE-2021-44832로 식별된 한 쌍의 새로운 취약점이 Apache Software Foundation에 의해 공개되었으며 이는 기본이 아닌 구성에서 2.17.1 이전의 log4j 릴리스에 영향을 미칩니다. VMware는 조사한 결과 이러한 취약점이 VMware 제품에서 악용될 수 있다는 증거를 찾지 못했습니다. 앞으로 새로운 log4j 취약성은 VMware 제품에 대한 심각도와 적용 가능성을 결정하기 위해 계속 평가되지만 이 권고에서는 언급되지 않습니다. VMware 제품은 오픈 소스 구성 요소(log4j 포함)를 향후 릴리스에서 사용 가능한 최신 버전으로 업데이트합니다.
아래 레퍼런스에서 각 제품에 대한 KB 문서를 를 참조하여 조치해 주세요.
Reference: https://www.vmware.com/security/advisories/VMSA-2021-0028.html?src=WWW_us_VMW_jX4lJ5ntRrvhQkHZWGCa
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046
2021-12-10: VMSA-2021-0028
초기 보안 권고.
2021-12-11: VMSA-2021-0028.1
vCenter Server Appliance, vRealize Operations, Horizon, vRealize Log Insight, Unified Access Gateway를 비롯한 여러 제품에 대한 해결 방법 정보로 권고가 업데이트되었습니다.
2021-12-13: VMSA-2021-0028.2
여러 제품에 대한 업데이트로 권고가 수정되었습니다.
2021-12-15: VMSA-2021-0028.3
여러 제품에 대한 업데이트로 권고가 수정되었습니다. 또한 CVE-2021-45046 정보를 추가하고 새로운 Apache Software Foundation 지침과의 일치를 기록했습니다.
2021-12-17: VMSA-2021-0028.4
여러 제품에 대한 업데이트로 권고가 수정되었습니다.
2021-12-20: VMSA-2021-0028.5
현재 CVE-2021-45105 조사에 대한 메모를 추가했습니다.
2021-12-21: VMSA-2021-0028.6
vRealize Operations 및 vRealize Log Insight를 비롯한 여러 제품에 대한 업데이트로 권고가 수정되었습니다.
2021-12-22: VMSA-2021-0028.7
HCX를 포함한 여러 제품에 대한 업데이트로 권고를 수정했습니다.
2021-12-24: VMSA-2021-0028.8
NSX-T, TKGI 및 Greenplum을 포함한 여러 제품에 대한 업데이트로 권고 수정
제품 보안 알림 및 공지 이메일 목록:
https://lists.vmware.com/cgi-bin/mailman/listinfo/security-announce
이 보안 권고는 다음 목록에 게시됩니다.
security-announce@lists.vmware.com
bugtraq@securityfocus.com
fulldisclosure@seclists.org
이메일: security@vmware.com
PGP 키:
VMware 보안 권고
https://www.vmware.com/security/advisories
VMware 보안 대응 정책
https://www.vmware.com/support/policies/security_response.html
VMware 수명 주기 지원 단계
https://www.vmware.com/support/policies/lifecycle.html
VMware 보안 및 규정 준수 블로그
https://blogs.vmware.com/security
트위터
https://twitter.com/VMwareSRC
Reference: https://www.vmware.com/security/advisories/VMSA-2021-0028.html?src=WWW_us_VMW_jX4lJ5ntRrvhQkHZWGCa