DFN-CERT

Advisory-Archiv

2021-2581: VMware Horizon DaaS, VMware Horizon (View), VMware vCenter Server, Log4j: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-12-13 13:40)
Neues Advisory
Version 2 (2021-12-14 09:08)
Der Hersteller führt nun auch VMware Horizon 8.x und 7.x als verwundbar auf. Auch hierfür stehen bislang nur Workarounds zur Verfügung (siehe Referenz).
Version 3 (2021-12-17 10:57)
Der Hersteller fügt die Schwachstelle CVE-2021-45046, welche ebenfalls die Ausführung beliebigen Programmcodes aus der Ferne ermöglicht, für alle betroffenen Produkte hinzu. Die Schwachstelle wird hier noch als Denial-of-Service-Schwachstelle bewertet.
Version 4 (2021-12-20 10:27)
Der Hersteller hat den Sicherheitshinweis aktualisiert; für VMware Horizon stehen jetzt die Versionen 2111, 7.13.1, 7.10.3 als Sicherheitsupdates zur Verfügung.
Version 5 (2021-12-21 11:41)
VMware informiert darüber, dass die Untersuchungen zu CVE-2021-45105 (Denial-of-Service in Log4j 2.16.0) für die eigenen Produkte begonnen haben. Bisher wurde noch kein Angriffsweg identifiziert. In zukünftigen Updates für Produkte, die Log4j einsetzen, soll trotzdem die neue Version 2.17.0 eingesetzt werden.
Version 6 (2022-01-28 09:13)
VMware hat das Security Advisory hinsichtlich zahlreicher Updates aktualisiert; für VMware vCenter Server 7.x steht die Version 7.0 U3c als Sicherheitsupdate zur Verfügung.
Version 7 (2022-02-09 13:21)
VMware hat das Security Advisory hinsichtlich weiterer Updates aktualisiert; für VMware vCenter Server 6.5 und 6.7 stehen die Versionen 6.5 U3s und 6.7 U3q jeweils für Virtual Appliance und Windows als Sicherheitsupdates zur Verfügung.

Betroffene Software

Netzwerk
Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft
VMware

Beschreibung:

Ein Angreifer kann die Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, indem er durch gezielte Interaktion mit Anwendungen, die auf Log4j zurückgreifen, speziell präparierte Log-Nachrichten oder Log-Nachrichten-Parameter auf betroffene Systeme bringt. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten haben.

VMware informiert über die Schwachstelle in VMware Horizon DaaS Versionszweig 9.1.x und 9.0.x sowie in VMware vCenter Server 7.x und 6.x und stellt Workarounds zur Behebung bereit. Sicherheitsupdates befinden sich noch im Status 'pending'.

Schwachstellen:

CVE-2021-44228

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-45046

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.