İlginizi Çekebilir
  1. Ana Sayfa
  2. Security
  3. VMware Response to Apache Log4j Remote Code Execution Vulnerability

VMware Response to Apache Log4j Remote Code Execution Vulnerability

featured

Ne yazık ki,  bu yılı tehlikeli bir kritik güvenlik açığıyla kapatacağız gibi görünüyor. :) Daha neler göreceğiz deyip 2021 yılının bir an önce daha farklı şeylerle karşılaşmadan bitmesini temenni ediyorum. gelelim konumuza Sadece birkaç gün önce, Apache Log4j’de CVE-2021-44228 tarafından tanımlanan kritik bir güvenlik açığı yayınlandı.  Bu yazımda  CVE-2021-44228’de açıklanan güvenlik açığının tam olarak ne olduğuna kısaca bir göz atacağız.  Bu kütüphane ‘yi kullanan bir çok üretici bu güvenlik açığından etkilendi tam listeye buradan erişim sağlayabilirsiniz.

cve-2021-44228 kritik güvenlik açığı nedir?

CVE-2021-44228 güvenlik açığı, Log4Shell veya LogJam olarak da adlandırılır. Apache Log4J kitaplığını etkileyen bu açık yetkisiz  bir şekilde uzaktan kod çalıştırmaya olanak sağlamakla birlikte, özellikle Log4j’nin 2.0-beta9’dan 2.14.1’e kadar tüm sürümlerinin bu durumdan etkilendiğini söylenmektedir. Bu kütüphane nedir? Apache Logging Projesinin bir parçası olarak kullanılan bir kütüphanedir. İşin kötü yanı, bunun Java geliştiricileri tarafından kullanılan en yaygın ve popüler günlük kitaplıklarından biri olmasıdır.

Amazon, Apple, Cisco, Cloudflare, Tesla, Twitter ve evet, VMware dahil olmak genelinde kullanılan büyük yazılım geliştirme şirketleri tarafından kullanılan kütüphanelerden biridir.

İşin kötü yanı, bu güvenlik açığı kelimenin tam anlamıyla her şuan her yerde bulunmaktadır.  Büyük olasılıkla popülerliği ve her yerde yaygınlığı nedeniyle, önümüzdeki birkaç gün içinde saldırganlar tarafından aktif olarak istismar edilecektir.

Örnek vermek gerekirse  bu açıktan yararlanmayı başaran kişi bir sunucu veya sisteminizin üzerinde full yetkiye sahip olabilir ve sistemlerinize kalıcı zararlar verebilir. Şuan için en kolay geçici çözüm  Apache Log4j kitaplığının en son sürümü olan 2.15.0’ı yüklemektir.

Apache Log4j CVE-2021-44228’deki Kritik Güvenlik Açığından VMware etkileniyor mu?

Ne yazık ki birçok büyük yazılım geliştirme şirketi gibi VMware de bu güvenlik açığından etkileniyor. VMware tarafından yayınlanan security bülteninde  VMSA-2021-0028.1, aşağıdaki ürünler etkilendiği söylenmektedir.

 

  • VMware Horizon
  • VMware vCenter Server
  • VMware HCX
  • VMware NSX-T Data Center
  • VMware Unified Access Gateway
  • VMware WorkspaceOne Access
  • VMware Identity Manager
  • VMware vRealize Operations
  • VMware vRealize Operations Cloud Proxy
  • VMware vRealize Log Insight
  • VMware vRealize Automation
  • VMware vRealize Lifecycle Manager
  • VMware Telco Cloud Automation
  • VMware Site Recovery Manager
  • VMware Carbon Black Cloud Workload Appliance
  • VMware Carbon Black EDR Server
  • VMware Tanzu GemFire
  • VMware Tanzu Greenplum
  • VMware Tanzu Operations Manager
  • VMware Tanzu Application Service for VMs
  • VMware Tanzu Kubernetes Grid Integrated Edition
  • VMware Tanzu Observability by Wavefront Nozzle
  • Healthwatch for Tanzu Application Service
  • Spring Cloud Services for VMware Tanzu
  • Spring Cloud Gateway for VMware Tanzu
  • Spring Cloud Gateway for Kubernetes
  • API Portal for VMware Tanzu
  • Single Sign-On for VMware Tanzu Application Service
  • App Metrics
  • VMware vCenter Cloud Gateway
  • VMware Tanzu SQL with MySQL for VMs
  • VMware vRealize Orchestrator
  • VMware Cloud Foundation
  • VMware Workspace ONE Access Connector
  • VMware Horizon DaaS
  • VMware Horizon Cloud Connector
  • (Additional products will be added)

Yukarıda bağlantısı verilen resmi VMSA’da listelenen aşağıdaki geçici çözümlere ve geçici çözümler için listelenen KB makalelerine dikkat edin.  Bu kritik açığın CVSSv3 derecesinin 10.0 olduğunu kesinlikle unutmayalım güvenlik önlemlerinizi bir an önce almayı unutmayın.

Product Version Running On CVE Identifier CVSSv3 Severity Fixed Version Workarounds Additional Documentation
VMware Horizon 8.x, 7.x Any CVE-2021-44228 10.0 Critical Patch Pending KB87073 None
VMware vCenter Server 7.x, 6.x Virtual Appliance CVE-2021-44228 10.0 Critical Patch Pending KB87081 None
VMware vCenter Server 6.x Windows CVE-2021-44228 10.0 Critical Patch Pending Workaround Pending None
VMware HCX 4.x, 3.x Any CVE-2021-44228 10.0 Critical Patch Pending KB86169 None
VMware NSX-T Data Center 3.x, 2.x Any CVE-2021-44228 10.0 Critical Patch Pending KB87086 None
VMware Unified Access Gateway 21.x, 20.x, 3.x Any CVE-2021-44228 10.0 Critical Patch Pending KB87092 None
VMware Workspace ONE Access 21.x, 20.10.x Any CVE-2021-44228 10.0 Critical Patch Pending KB87090 None
VMware Identity Manager 3.3.x Any CVE-2021-44228 10.0 Critical Patch Pending KB87093 None
VMware vRealize Operations 8.x Any CVE-2021-44228 10.0 Critical Patch Pending KB87076 None
VMware vRealize Operations Cloud Proxy Any Any CVE-2021-44228 10.0 Critical Patch Pending KB87080 None
VMware vRealize Log Insight 8.x Any CVE-2021-44228 10.0 Critical Patch Pending KB87089 None
VMware vRealize Automation 8.x, 7.x Any CVE-2021-44228 10.0 Critical Patch Pending Workaround Pending None
VMware vRealize Lifecycle Manager 8.x Any CVE-2021-44228 10.0 Critical Patch Pending KB87097 None
VMware Telco Cloud Automation 2.x, 1.x Any CVE-2021-44228 10.0 Critical Patch Pending Workaround Pending None
VMware Carbon Black Cloud Workload Appliance 1.x Any CVE-2021-44228 10.0 Critical Patch Pending UeX 109167 None
VMware Carbon Black EDR Server 7.x, 6.x Any CVE-2021-44228 10.0 Critical Patch Pending UeX 109168 None
VMware Site Recovery Manager 8.x Any CVE-2021-44228 10.0 Critical Patch Pending Workaround Pending None
VMware Tanzu GemFire 9.x, 8.x Any CVE-2021-44228 10.0 Critical Patch Pending Article Number 13255 None
VMware Tanzu Greenplum 6.x Any CVE-2021-44228 10.0 Critical Patch Pending Article Number 13256 None
VMware Tanzu Operations Manager 2.x Any CVE-2021-44228 10.0 Critical 2.10.23 Article Number 13264 None
VMware Tanzu Application Service for VMs 2.x Any CVE-2021-44228 10.0 Critical Patch Pending Article Number 13265 None
VMware Tanzu Kubernetes Grid Integrated Edition 1.x Any CVE-2021-44228 10.0 Critical Patch Pending Article Number 13263 None
VMware Tanzu Observability by Wavefront Nozzle 3.x, 2.x Any CVE-2021-44228 10.0 Critical 3.0.3 None None
Healthwatch for Tanzu Application Service 2.x, 1.x Any CVE-2021-44228 10.0 Critical 2.1.7, 1.8.6 None None
Spring Cloud Services for VMware Tanzu 3.x Any CVE-2021-44228 10.0 Critical Patch Pending Workaround Pending None
Spring Cloud Gateway for VMware Tanzu 1.x Any CVE-2021-44228 10.0 Critical Patch Pending Workaround Pending None
Spring Cloud Gateway for Kubernetes 1.x Any CVE-2021-44228 10.0 Critical Patch Pending Workaround Pending None
API Portal for VMware Tanzu 1.x Any CVE-2021-44228 10.0 Critical Patch Pending Workaround Pending None
Single Sign-On for VMware Tanzu Application Service 1.x Any CVE-2021-44228 10.0 Critical Patch Pending Workaround Pending None
App Metrics 2.x Any CVE-2021-44228 10.0 Critical 2.1.1 None None
VMware vCenter Cloud Gateway 1.x Any CVE-2021-44228 10.0 Critical Patch Pending KB87081 None
VMware Tanzu SQL with MySQL for VMs 2.x, 1.x Any CVE-2021-44228 10.0 Critical Patch Pending Workaround Pending None
VMware vRealize Orchestrator 8.x, 7.x Any CVE-2021-44228 10.0 Critical Patch Pending Workaround Pending None
VMware Cloud Foundation 4.x, 3.x Any CVE-2021-44228 10.0 Critical Patch Pending KB87095 None
VMware Workspace ONE Access Connector (VMware Identity Manager Connector) 21.x, 20.10.x, 19.03.0.1 Any CVE-2021-44228 10.0 Critical Patch Pending KB87091 None
VMware Horizon DaaS 9.1.x, 9.0.x Any CVE-2021-44228 10.0 Critical Patch Pending Workaround Pending None
VMware Horizon Cloud Connector 1.x, 2.x Any CVE-2021-44228 10.0 Critical 2.1.1 None None

 

Kaynakça : https://www.vmware.com/security/advisories/VMSA-2021-0028.html

Yorum Yap

Yazar Hakkında

15 yılı aşkın bir süredir Bilgi Teknolojileri sektörünün içerisindeyim. Bilişim sektörü ile alakalı farklı eğitimler sertifikalar edinerek bu sektör içerisin de son 12 yıldır profesyonel olarak çalışmaktayım. Yeditepe Üniversitesi Makine bölümü ve Eskişehir Üniversitesi işletme bölümü mezunuyum. Bilişim sektöründe kurumsal firmalarda, pek çok farklı pozisyonlarda görev aldım.

Yorum Yap