- CVE-2021-44228 - VMSA-2021-0028
- 在执行本知识库文章中的步骤之前,需要删除 VCHA。
- 具有外部 PSC 的环境需要在 vCenter 和 PSC 设备上执行步骤。
注: 对于 vCenter 云网关 ,只需要执行 vMon 服务和分析服务的步骤。
单击此处查看 vCenter Server Appliance 7.0.x 变通办法
单击此处查看 vCenter Server Appliance 6.7.x 变通办法
警告:已确认 vCenter Server 6.7.x 的变通办法仅部分解决 CVE-2021-44228。请订阅此知识库,以便在有完整的解决方法可用时收到警报。
单击此处获取 vCenter Server Appliance 6.5.x 解决方法
警告:已确认 vCenter Server 6.5 的变通办法仅部分解决 CVE-2021-44228。请订阅此知识库,以便在有完整的解决方法可用时收到警报。
vCenter Server Appliance 7.0.x 变通办法
vMON Service
- 备份现有的 java-wrapper-vmon 文件
- 使用文本编辑器(如vi)更新 java-wrapper-vmon 文件
- 在文件的最底部,将最后一行替换为 2 个新行
注意 :- 以下更新(在步骤 3 中提到)仅适用于下面列出的 vCenter 版本:-
- vCenter 7.0 更新 3、3a
- vCenter 7.0 Update 2, 2a, 2b, 2c, 2d
exec $java_start_bin $jvm_dynargs $security_dynargs $original_args
log4j_arg="-Dlog4j2.formatMsgNoLookups=true"
exec $java_start_bin $jvm_dynargs $log 4j_arg $security_dynargs $original_args
注意 :- 以下更新(在步骤 3 中提到)仅适用于下面列出的 vCenter 版本:-
- vCenter 7.0 GA, 7.0.0a, 7.0.0b, 7.0.0c, 7.0.0d
- vCenter 7.0 Update 1, U1a, U1c, U1d
exec $java_start_bin $jvm_dynargs "$@"
Update
log4j_arg="-Dlog4j2.formatMsgNoLookups=true"
exec $java_start_bin $jvm_dynargs $log 4j_arg "$@"
- 重新启动 vCenter 服务
所有服务-控制 --启动 --所有
注意:如果服务未启动,请确保使用以下命令正确设置文件权限:
- chown root:cis /usr/lib/vmware-vmon/java-wrapper-vmon
- chmod 754 /usr/lib/vmware-vmon/java-wrapper-vmon
更新管理器服务
- 备份现有的启动.ini文件
- 更新开始.ini文件
- 将以下行添加到文件末尾
- 重新启动更新管理器服务
service-control --restart vmware-updatemgr
分析服务
- 备份 log4j-core-2.8.2.jar 文件
- 运行 zip 命令以禁用类
- 重新启动分析服务
DBCC 实用程序
- 备份 log4j-core-2.8.2.jar 文件
- 运行 zip 命令以禁用类
验证更改
完成所有部分后,请使用以下步骤确认它们是否已成功实现。- 验证 vMon 服务是否使用新的-Dlog4j2.formatMsgNoLookups=true参数启动:
检查进程是否包含-Dlog4j2.formatMsgNoLookups=true
- 验证更新管理器更改是否显示在以下两个命令输出的"系统属性"下:
cd
/usr/lib/vmware-updatemgr/bin/jetty/ java -jar start.jar --list-config
System Properties:
------------------ log4j2.formatMsgNoLookups = true (/usr/lib/vmware-updatemgr/bin/jetty/start.ini)
- 验证分析服务更改:
这应该返回 0 行
- 验证 DBCC 实用程序更改:
这应该返回 0 行
vCenter Server Appliance 6.7.x 变通办法
需要同时应用于 vMON 服务和分析服务。
vMON 服务
- 备份现有的 java-wrapper-vmon 文件
- 使用文本编辑器(如vi)更新 java-wrapper-vmon 文件
-
在文件的最底部,将最后一行替换为 2 个新行
-
源语言exec $java_start_bin $jvm_dynargs "$@"
Update
log4j_arg="-Dlog4j2.formatMsgNoLookups=true"
exec $java_start_bin $jvm_dynargs $log 4j_arg "$@"
-
- 重新启动 vCenter 服务
服务-控制 --启动 --所有
注意:如果服务未启动,请确保使用以下命令正确设置文件权限:
- chown root:cis /usr/lib/vmware-vmon/java-wrapper-vmon
- chmod 754 /usr/lib/vmware-vmon/java-wrapper-vmon
分析服务
注意:- 以下解决方法(分析服务)仅适用于 vCenter Server Appliance 6.7 Update 3o 及更早版本。JAR 在更高版本中已更新到 2.11。- 备份 log4j-core-2.8.2.jar 文件
- 运行 zip 命令以禁用类
- 重新启动分析服务
CM 服务
- 备份 log4j-core.jar 文件
- 运行 zip 命令以禁用类
- 重新启动 CM 服务
验证更改
- 验证 vMON 服务是否使用新的-Dlog4j2.formatMsgNoLookups=true参数启动:
检查进程是否包含-Dlog4j2.formatMsgNoLookups=true
- 验证分析服务更改:
- 验证 CM 服务更改:
这应该返回 0 行
vCenter Server Appliance 6.5.x 变通办法
警告:已确认 vCenter Server 6.5 的变通办法仅部分解决 CVE-2021-44228。请订阅此知识库,以便在有完整的解决方法可用时收到警报。 解决方法需要应用于 vMON 服务和 CM 服务vMON 服务
- 备份现有的 java-wrapper-vmon 文件
- 使用文本编辑器(如vi)更新 java-wrapper-vmon 文件
-
在文件的最底部,将最后一行替换为 2 个新行
-
源语言exec $java_start_bin $jvm_dynargs "$@"
Update
log4j_arg="-Dlog4j2.formatMsgNoLookups=true"
exec $java_start_bin $jvm_dynargs $log 4j_arg "$@"
-
- 重新启动 vCenter 服务
服务-控制 --启动 --所有
注意:如果服务未启动,请确保使用以下命令正确设置文件权限:
- chown root:cis /usr/lib/vmware-vmon/java-wrapper-vmon
- chmod 754 /usr/lib/vmware-vmon/java-wrapper-vmon
CM 服务
- 备份 log4j-core.jar 文件
- 运行 zip 命令以禁用类
- 重新启动 CM 服务
验证更改
- 验证 vMON 服务是否使用新的-Dlog4j2.formatMsgNoLookups=true参数启动:
检查进程是否包含-Dlog4j2.formatMsgNoLookups=true
- 验证 CM 服务更改:
这应该返回 0 行
在执行此知识库中的步骤之前,需要禁用 VCHA。
:
- 2021 年 12 月 12 日 - 太平洋标准时间 11:20:更新了知识库文章,其中提供了有关 6.5/6.7 部分解决漏洞的变通办法的建议
原文地址:https://blog.csdn.net/allway2
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。