目的
CVE-2021-44228已被确定通过其附带的Apache Log4j开源组件影响vCenter Server 7.0.x,vCenter 6.7.x和vCenter 6.5.x。以下 VMware 安全通报 (VMSA) 中记录了此漏洞及其对 VMware 产品的影响,请先查看本文档,然后再继续操作:
- CVE-2021-44228 - VMSA-2021-0028
影响/风险
- 在执行本知识库文章中的步骤之前,需要删除 VCHA。
- 具有外部 PSC 的环境需要在 vCenter 和 PSC 设备上执行步骤。
分辨率
本文档中描述的解决方法仅是临时解决方案。
应应用上述通报中记录的升级来修正 CVE-2021-44228(如果可用)。
解决方法
要将 CVE-2021-44228 的变通办法应用于 vCenter Server 7.x、vCenter 6.7.x 和 vCenter 6.5.x,可在 vCenter 设备上更新变通办法部分。
注: 对于 vCenter 云网关 ,只需要执行 vMon 服务和分析服务的步骤。
注: 对于 vCenter 云网关 ,只需要执行 vMon 服务和分析服务的步骤。
单击此处查看 vCenter Server Appliance 7.0.x 变通办法
单击此处查看 vCenter Server Appliance 6.7.x 变通办法
警告:已确认 vCenter Server 6.7.x 的变通办法仅部分解决 CVE-2021-44228。请订阅此知识库,以便在有完整的解决方法可用时收到警报。
单击此处获取 vCenter Server Appliance 6.5.x 解决方法
警告:已确认 vCenter Server 6.5 的变通办法仅部分解决 CVE-2021-44228。请订阅此知识库,以便在有完整的解决方法可用时收到警报。
vCenter Server Appliance 7.0.x 变通办法
vMON Service
- 备份现有的 java-wrapper-vmon 文件
cp -rfp /usr/lib/vmware-vmon/java-wrapper-vmon /usr/lib/vmware-vmon/java-wrapper-vmon.bak
- 使用文本编辑器(如vi)更新 java-wrapper-vmon 文件
vi /usr/lib/vmware-vmon/java-wrapper-vmon
- 在文件的最底部,将最后一行替换为 2 个新行
根据环境中运行的 vCenter 版本执行此步骤编号"3"。
注意 :- 以下更新(在步骤 3 中提到)仅适用于下面列出的 vCenter 版本:-
注意 :- 以下更新(在步骤 3 中提到)仅适用于下面列出的 vCenter 版本:-
- vCenter 7.0 更新 3、3a
- vCenter 7.0 Update 2, 2a, 2b, 2c, 2d
Original
exec $java_start_bin $jvm_dynargs $security_dynargs $original_args
exec $java_start_bin $jvm_dynargs $security_dynargs $original_args
更新
log4j_arg="-Dlog4j2.formatMsgNoLookups=true"
exec $java_start_bin $jvm_dynargs $log 4j_arg $security_dynargs $original_args
注意 :- 以下更新(在步骤 3 中提到)仅适用于下面列出的 vCenter 版本:-
log4j_arg="-Dlog4j2.formatMsgNoLookups=true"
exec $java_start_bin $jvm_dynargs $log 4j_arg $security_dynargs $original_args
注意 :- 以下更新(在步骤 3 中提到)仅适用于下面列出的 vCenter 版本:-
- vCenter 7.0 GA, 7.0.0a, 7.0.0b, 7.0.0c, 7.0.0d
- vCenter 7.0 Update 1, U1a, U1c, U1d
Original
exec $java_start_bin $jvm_dynargs "$@"
Update
log4j_arg="-Dlog4j2.formatMsgNoLookups=true"
exec $java_start_bin $jvm_dynargs $log 4j_arg "$@"
exec $java_start_bin $jvm_dynargs "$@"
Update
log4j_arg="-Dlog4j2.formatMsgNoLookups=true"
exec $java_start_bin $jvm_dynargs $log 4j_arg "$@"
- 重新启动 vCenter 服务
服务控制 --停止 --
所有服务-控制 --启动 --所有
所有服务-控制 --启动 --所有
注意:如果服务未启动,请确保使用以下命令正确设置文件权限:
- chown root:cis /usr/lib/vmware-vmon/java-wrapper-vmon
- chmod 754 /usr/lib/vmware-vmon/java-wrapper-vmon
更新管理器服务
- 备份现有的启动.ini文件
cp -rfp /usr/lib/vmware-updatemgr/bin/jetty/start.ini /usr/lib/vmware-updatemgr/bin/jetty/start.ini.bak
- 更新开始.ini文件
vi /usr/lib/vmware-updatemgr/bin/jetty/start.ini
- 将以下行添加到文件末尾
-Dlog4j2.formatMsgNoLookups=true
- 重新启动更新管理器服务
service-control --restart vmware-updatemgr
分析服务
- 备份 log4j-core-2.8.2.jar 文件
cp -rfp /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar.bak
- 运行 zip 命令以禁用类
zip -q -d /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- 重新启动分析服务
service-control --restart vmware-analytics
DBCC 实用程序
- 备份 log4j-core-2.8.2.jar 文件
cp /usr/lib/vmware-dbcc/lib/log4j-core-2.8.2.jar /usr/lib/vmware-dbcc/lib/log4j-core-2.8.2.jar.bak
- 运行 zip 命令以禁用类
zip -q -d /usr/lib/vmware-dbcc/lib/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
注意:此命令可能会失败,并显示"zip 错误:无事可做!"。如果是这样,请转到验证部分,以确保不需要该步骤。对于 DBCC,无需重新启动任何服务。
验证更改
完成所有部分后,请使用以下步骤确认它们是否已成功实现。- 验证 vMon 服务是否使用新的-Dlog4j2.formatMsgNoLookups=true参数启动:
ps auxww | grep formatMsgNoLookups
检查进程是否包含-Dlog4j2.formatMsgNoLookups=true
检查进程是否包含-Dlog4j2.formatMsgNoLookups=true
- 验证更新管理器更改是否显示在以下两个命令输出的"系统属性"下:
cd
/usr/lib/vmware-updatemgr/bin/jetty/ java -jar start.jar --list-config
System Properties:
------------------ log4j2.formatMsgNoLookups = true (/usr/lib/vmware-updatemgr/bin/jetty/start.ini)
- 验证分析服务更改:
grep -i jndilookup /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar |厕所 -l
这应该返回 0 行
- 验证 DBCC 实用程序更改:
grep -i jndilookup /usr/lib/vmware-dbcc/lib/log4j-core-2.8.2.jar | wc -l
这应该返回 0 行
这应该返回 0 行
vCenter Server Appliance 6.7.x 变通办法
警告:已确认 vCenter Server 6.7.x 的变通办法仅部分解决 CVE-2021-44228。请订阅此知识库,以便在有完整的解决方法可用时收到警报。
需要同时应用于 vMON 服务和分析服务。
需要同时应用于 vMON 服务和分析服务。
vMON 服务
- 备份现有的 java-wrapper-vmon 文件
cp -rfp /usr/lib/vmware-vmon/java-wrapper-vmon /usr/lib/vmware-vmon/java-wrapper-vmon.bak
- 使用文本编辑器(如vi)更新 java-wrapper-vmon 文件
vi /usr/lib/vmware-vmon/java-wrapper-vmon
-
在文件的最底部,将最后一行替换为 2 个新行
-
源语言exec $java_start_bin $jvm_dynargs "$@"
Update
log4j_arg="-Dlog4j2.formatMsgNoLookups=true"
exec $java_start_bin $jvm_dynargs $log 4j_arg "$@"
-
- 重新启动 vCenter 服务
服务控制 --停止 --所有
服务-控制 --启动 --所有
服务-控制 --启动 --所有
注意:如果服务未启动,请确保使用以下命令正确设置文件权限:
- chown root:cis /usr/lib/vmware-vmon/java-wrapper-vmon
- chmod 754 /usr/lib/vmware-vmon/java-wrapper-vmon
分析服务
注意:- 以下解决方法(分析服务)仅适用于 vCenter Server Appliance 6.7 Update 3o 及更早版本。JAR 在更高版本中已更新到 2.11。- 备份 log4j-core-2.8.2.jar 文件
cp -rfp /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar.bak
- 运行 zip 命令以禁用类
zip -q -d /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- 重新启动分析服务
service-control --restart vmware-analytics
CM 服务
- 备份 log4j-core.jar 文件
cp -rfp /usr/lib/vmware-cm/lib/log4j-core.jar /usr/lib/vmware-cm/lib/log4j-core.jar.bak
- 运行 zip 命令以禁用类
zip -q -d /usr/lib/vmware-cm/lib/log4j-core.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- 重新启动 CM 服务
service-control --restart vmware-cm
验证更改
完成所有部分后,请使用以下步骤确认它们是否已成功实现。
- 验证 vMON 服务是否使用新的-Dlog4j2.formatMsgNoLookups=true参数启动:
ps auxww | grep formatMsgNoLookups
检查进程是否包含-Dlog4j2.formatMsgNoLookups=true
检查进程是否包含-Dlog4j2.formatMsgNoLookups=true
- 验证分析服务更改:
grep -i jndilookup /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar |厕所 -l
这应该返回 0 行
- 验证 CM 服务更改:
grep -i jndilookup /usr/lib/vmware-cm/lib/log4j-core.jar | wc -l
这应该返回 0 行
这应该返回 0 行
vCenter Server Appliance 6.5.x 变通办法
警告:已确认 vCenter Server 6.5 的变通办法仅部分解决 CVE-2021-44228。请订阅此知识库,以便在有完整的解决方法可用时收到警报。 解决方法需要应用于 vMON 服务和 CM 服务vMON 服务
- 备份现有的 java-wrapper-vmon 文件
cp -rfp /usr/lib/vmware-vmon/java-wrapper-vmon /usr/lib/vmware-vmon/java-wrapper-vmon.bak
- 使用文本编辑器(如vi)更新 java-wrapper-vmon 文件
vi /usr/lib/vmware-vmon/java-wrapper-vmon
-
在文件的最底部,将最后一行替换为 2 个新行
-
源语言exec $java_start_bin $jvm_dynargs "$@"
Update
log4j_arg="-Dlog4j2.formatMsgNoLookups=true"
exec $java_start_bin $jvm_dynargs $log 4j_arg "$@"
-
- 重新启动 vCenter 服务
服务控制 --停止 --所有
服务-控制 --启动 --所有
服务-控制 --启动 --所有
注意:如果服务未启动,请确保使用以下命令正确设置文件权限:
- chown root:cis /usr/lib/vmware-vmon/java-wrapper-vmon
- chmod 754 /usr/lib/vmware-vmon/java-wrapper-vmon
CM 服务
- 备份 log4j-core.jar 文件
cp -rfp /usr/lib/vmware-cm/lib/log4j-core.jar /usr/lib/vmware-cm/lib/log4j-core.jar.bak
- 运行 zip 命令以禁用类
zip -q -d /usr/lib/vmware-cm/lib/log4j-core.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- 重新启动 CM 服务
service-control --restart vmware-cm
验证更改
完成所有部分后,请使用以下步骤确认它们是否已成功实现。
- 验证 vMON 服务是否使用新的-Dlog4j2.formatMsgNoLookups=true参数启动:
ps auxww | grep formatMsgNoLookups
检查进程是否包含-Dlog4j2.formatMsgNoLookups=true
检查进程是否包含-Dlog4j2.formatMsgNoLookups=true
- 验证 CM 服务更改:
grep -i jndilookup /usr/lib/vmware-cm/lib/log4j-core.jar | wc -l
这应该返回 0 行
这应该返回 0 行
相关信息
要还原变通办法,请将修改后的文件替换为在每个步骤中创建的备份。
在执行此知识库中的步骤之前,需要禁用 VCHA。
:
在执行此知识库中的步骤之前,需要禁用 VCHA。
:
- 2021 年 12 月 12 日 - 太平洋标准时间 11:20:更新了知识库文章,其中提供了有关 6.5/6.7 部分解决漏洞的变通办法的建议
原文地址:https://blog.csdn.net/allway2
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。