Tags: VMware, vCenter, ESXi, Sicherheit, Schwachstellen
VMware ist einer der Hersteller, dessen Produkte durch die kritische Sicherheitslücke in log4j besonders gefährdet sind. Dies trifft indes nicht auf das ganze Portfolio zu, ausgenommen ist beispielsweise der ESXi-Hypervisor. VMware arbeitet unter Hochdruck daran, Patches und Workarounds für anfällige Software bereitzustellen.
Bei Apache log4j handelt es sich um eine Open-Source-Library, die in vielen Java-Anwendungen für das Event-Logging genutzt wird. Die kürzlich entdeckte Schwachstelle mit der Bezeichnung Log4Shell (CVE-2021-44228) erlaubt es Angreifern, Code remote auszuführen und die Kontrolle über die Systeme zu übernehmen.
Zahlreiche Exploits
Zu diesem Zwecke übergeben sie der Anwendung speziell geformte Zeichenketten, beispielsweise über eine URL oder den Agent-String im HTTP-Header. Daher bieten etwa Login-Bildschirme eine besondere Angriffsfläche, weil Ereignisse wie die Anmeldung eines Benutzers meistens protokolliert werden. Eine detaillierte Analyse des Problems findet sich auf dieser Seite.
Seit der Entdeckung der Schwachstelle am 9. Dezember stellen Security-Firmen bereits eine Vielzahl von Angriffen auf log4j fest. Daher ist vonseiten der Anbieter und Anwender betroffener Produkte eine große Dringlichkeit geboten.
Status der betroffen Software
VMware listet auf dieser Seite sämtliche Produkte aus dem eigenen Haus auf, die durch die Sicherheitslücke gefährdet sind. Darunter finden sich essentielle Komponenten der VMware-Plattform wie vCenter, Horizon, praktisch die ganze vRealize-Familie oder NSX.
Die Übersicht enthält eine Tabelle, die den aktuellen Status für jede Software widergibt. Dort finden sich Informationen zu verfügbaren Patches und Workarounds sowie die Versionen der bedrohten Anwendungen.
Die gute Nachricht ist, dass eine Reihe kritischer Produkte wie VMware ESXi, die VMware Tools, Desktop-Software wie die Workstation, Fusion oder ThinApp nicht betroffen sind. Eine vollständige Übersicht über die nicht gefährdeten Produkte findet sich auf dieser Seite.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Schwachstellen in VMware ESXi (CVE-2022-31696) und vCenter, Updates verfügbar
- ESXi 7 U3 wieder verfügbar, vCenter 7 Update 3c mit log4j-Fix und Rückkehr alter Schwachstellen
- Sperrmodus in VMware vSphere 6: normal versus streng (Lockdown Mode)
- VMware Tools weisen kritische Schwachstelle auf (CVE-2023-20900)
- VMware vSphere 8 Update 2: ESXi Lifecycle Management Service, mehr KI-Rechenleistung, Integration mit Azure AD
Weitere Links