{"id":260518,"date":"2021-12-14T02:00:45","date_gmt":"2021-12-14T01:00:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260518"},"modified":"2021-12-29T23:26:20","modified_gmt":"2021-12-29T22:26:20","slug":"vmware-produkte-durch-log4j-schwachstelle-cve-2021-44228-bedroht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/14\/vmware-produkte-durch-log4j-schwachstelle-cve-2021-44228-bedroht\/","title":{"rendered":"VMware-Produkte durch log4j-Schwachstelle CVE-2021-44228 bedroht"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die vor wenigen Tagen in der JAVA-Bibliothek log4j bekannt gewordene kritische Schwachstelle CVE-2021-44228 bedroht Millionen an Software-Produkten. Bei vielen Server-Produkten k\u00f6nnen Anwender wenig tun. Administratoren von VMware-Produkten m\u00f6chte ich aber einen n\u00e4heren Blick ans Herz legen, denn der Hersteller gibt einige Virtualisierungsprodukte als von der Schwachstelle betroffen an.<\/p>\n

<\/p>\n

Die log4j-Schwachstelle CVE-2021-44228<\/h2>\n

\"\"Ich hatte bereits am 10. Dezember 2021 im Beitrag 0-day CVE-2021-44228 in Java log4j-Bibliothek tangiert zahlreiche Anbieter<\/a> auf das Problem hingewiesen. Es gibt eine kritische Schwachstelle in der JNDI-Lookup-Funktion in der zum Logging benutzen Java Bibliothek log4j, \u00fcber die Angreifer remote Code injizieren und ausf\u00fchren lassen k\u00f6nnen. Die JNDI-Lookup-Funktion von log4j erm\u00f6glicht den Abruf von Variablen \u00fcber das JNDI \u2013 Java Naming and Directory Interface. Die Schwachstelle hat den CVSSv3-Wert 10.0 (h\u00f6chster Wert) erhalten.<\/p>\n

Schreibt ein Angreifer sch\u00e4dlichen Code in Form einer URL in die Protokolldatei, kontaktiert der Verzeichnisdienst JNDI darauf hin den im Protokoll aufgef\u00fchrten LDAP-Server, um von diesem Daten anzufordern. Das kann auch Java-Klassen umfassen, die dann ausgef\u00fchrt werden. Gelingt es einem Angreifer die URL auf einen von ihm kontrollierten Server in der Protokolldatei anzugeben, kann er einen Server \u00fcber das Logging zu kapern (Log4Shell).<\/p>\n

Seit ein Proof of Concept<\/a> (PoC) f\u00fcr die Remote Code Execution-Schwachstelle in log4j am 9. Dezember 2021 ver\u00f6ffentlicht wurde, steht die IT-Welt Kopf. Die US CISA warnt (siehe<\/a>), dass dies die gr\u00f6\u00dfte Sicherheitsl\u00fccke des Jahres sei und hunderte Millionen an Ger\u00e4ten und Programmen bedroht. Darunter fallen wohl auch diverse Produkte von VMware.<\/p>\n

VMware-Produkte betroffen<\/h2>\n

Der Anbieter VMware hat zum 10. Dezember 2021 bereits den Sicherheitshinweis VMSA-2021-0028<\/a> zur Apache Log4j Sicherheitsl\u00fccke CVE-2021-44228 (Remotecodeausf\u00fchrung) ver\u00f6ffentlicht. Noch wird untersucht, aber VMware geht von folgenden betroffenen Produkten aus (siehe meine Erg\u00e4nzung):<\/p>\n