解决 vCenter Server 和 vCenter Cloud Gateway 中的 CVE-2021-44228 的变通办法说明 (87081

最新推荐文章于 2024-06-19 22:27:57 发布
最新推荐文章于 2024-06-19 22:27:57 发布
阅读量872 收藏
点赞数
文章标签: gateway
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/121897150
版权

 目的
CVE-2021-44228已被确定通过其附带的Apache Log4j开源组件影响vCenter Server 7.0.x,vCenter 6.7.x和vCenter 6.5.x。以下 VMware 安全通报 (VMSA) 中记录了此漏洞及其对 VMware 产品的影响,请先查看本文档,然后再继续操作:
 影响/风险
  • 在执行本知识库文章中的步骤之前,需要删除 VCHA。
  • 具有外部 PSC 的环境需要在 vCenter 和 PSC 设备上执行步骤。
 分辨率
本文档中描述的解决方法仅是临时解决方案。
应应用上述通报中记录的升级来修正 CVE-2021-44228(如果可用)。
 解决方法
要将 CVE-2021-44228 的变通办法应用于 vCenter Server 7.x、vCenter 6.7.x 和 vCenter 6.5.x,可在 vCenter 设备上更新变通办法部分。
注: 对于 vCenter 云网关 ,只需要执行 vMon 服务和分析服务的步骤。
 


单击此处查看 vCenter Server Appliance 7.0.x 变通办法

单击此处查看 vCenter Server Appliance 6.7.x 变通办法

警告:已确认 vCenter Server 6.7.x 的变通办法仅部分解决 CVE-2021-44228。请订阅此知识库,以便在有完整的解决方法可用时收到警报。


单击此处获取 vCenter Server Appliance 6.5.x 解决方法

警告:已确认 vCenter Server 6.5 的变通办法仅部分解决 CVE-2021-44228。请订阅此知识库,以便在有完整的解决方法可用时收到警报。


vCenter Server Appliance 7.0.x 变通办法
vMON Service

  1. 备份现有的 java-wrapper-vmon 文件
cp -rfp /usr/lib/vmware-vmon/java-wrapper-vmon /usr/lib/vmware-vmon/java-wrapper-vmon.bak
  1. 使用文本编辑器(如vi)更新 java-wrapper-vmon 文件
vi /usr/lib/vmware-vmon/java-wrapper-vmon
  1. 在文件的最底部,将最后一行替换为 2 个新行
根据环境中运行的 vCenter 版本执行此步骤编号"3"。
注意 :- 以下更新(在步骤 3 中提到)仅适用于下面列出的 vCenter 版本:-
  • vCenter 7.0 更新 3、3a
  • vCenter 7.0 Update 2, 2a, 2b, 2c, 2d
Original
exec $java_start_bin $jvm_dynargs $security_dynargs $original_args
 
更新
log4j_arg="-Dlog4j2.formatMsgNoLookups=true"
exec $java_start_bin $jvm_dynargs $log 4j_arg $security_dynargs $original_args

注意 :- 以下更新(在步骤 3 中提到)仅适用于下面列出的 vCenter 版本:-
  • vCenter 7.0 GA, 7.0.0a, 7.0.0b, 7.0.0c, 7.0.0d
  • vCenter 7.0 Update 1, U1a, U1c, U1d
Original
exec $java_start_bin $jvm_dynargs "$@"

Update
log4j_arg="-Dlog4j2.formatMsgNoLookups=true"
exec $java_start_bin $jvm_dynargs $log 4j_arg "$@"
  1. 重新启动 vCenter 服务
服务控制 --停止 --
所有服务-控制 --启动 --所有
 

注意:如果服务未启动,请确保使用以下命令正确设置文件权限:

  • chown root:cis /usr/lib/vmware-vmon/java-wrapper-vmon
  • chmod 754 /usr/lib/vmware-vmon/java-wrapper-vmon

更新管理器服务

  1. 备份现有的启动.ini文件
cp -rfp /usr/lib/vmware-updatemgr/bin/jetty/start.ini /usr/lib/vmware-updatemgr/bin/jetty/start.ini.bak
  1. 更新开始.ini文件
vi /usr/lib/vmware-updatemgr/bin/jetty/start.ini
  1. 将以下行添加到文件末尾
-Dlog4j2.formatMsgNoLookups=true
  1. 重新启动更新管理器服务

service-control --restart vmware-updatemgr

分析服务

  1. 备份 log4j-core-2.8.2.jar 文件
cp -rfp /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar.bak
  1. 运行 zip 命令以禁用类
zip -q -d /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  1. 重新启动分析服务
service-control --restart vmware-analytics
 

DBCC 实用程序

  1. 备份 log4j-core-2.8.2.jar 文件
cp /usr/lib/vmware-dbcc/lib/log4j-core-2.8.2.jar /usr/lib/vmware-dbcc/lib/log4j-core-2.8.2.jar.bak
  1. 运行 zip 命令以禁用类
zip -q -d /usr/lib/vmware-dbcc/lib/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
 
注意:此命令可能会失败,并显示"zip 错误:无事可做!"。如果是这样,请转到验证部分,以确保不需要该步骤。对于 DBCC,无需重新启动任何服务。
 

验证更改

完成所有部分后,请使用以下步骤确认它们是否已成功实现。
  1. 验证 vMon 服务是否使用新的-Dlog4j2.formatMsgNoLookups=true参数启动:
ps auxww | grep formatMsgNoLookups

检查进程是否包含-Dlog4j2.formatMsgNoLookups=true
  1. 验证更新管理器更改是否显示在以下两个命令输出的"系统属性"下:

cd
/usr/lib/vmware-updatemgr/bin/jetty/ java -jar start.jar --list-config



System Properties:


------------------ log4j2.formatMsgNoLookups = true (/usr/lib/vmware-updatemgr/bin/jetty/start.ini

  1. 验证分析服务更改:
grep -i jndilookup /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar |厕所 -l
 

这应该返回 0 行

  1. 验证 DBCC 实用程序更改:
grep -i jndilookup /usr/lib/vmware-dbcc/lib/log4j-core-2.8.2.jar | wc -l

这应该返回 0 行
 

vCenter Server Appliance 6.7.x 变通办法

警告:已确认 vCenter Server 6.7.x 的变通办法仅部分解决 CVE-2021-44228。请订阅此知识库,以便在有完整的解决方法可用时收到警报。

需要同时应用于 vMON 服务和分析服务。
 

vMON 服务

  1. 备份现有的 java-wrapper-vmon 文件
cp -rfp /usr/lib/vmware-vmon/java-wrapper-vmon /usr/lib/vmware-vmon/java-wrapper-vmon.bak
  1. 使用文本编辑器(如vi)更新 java-wrapper-vmon 文件
vi /usr/lib/vmware-vmon/java-wrapper-vmon
  1. 在文件的最底部,将最后一行替换为 2 个新行
    • 源语言
      exec $java_start_bin $jvm_dynargs "$@"

      Update

      log4j_arg="-Dlog4j2.formatMsgNoLookups=true"

      exec $java_start_bin $jvm_dynargs $log 4j_arg "$@"

  2. 重新启动 vCenter 服务
服务控制 --停止 --所有
服务-控制 --启动 --所有
 

注意:如果服务未启动,请确保使用以下命令正确设置文件权限:

  • chown root:cis /usr/lib/vmware-vmon/java-wrapper-vmon
  • chmod 754 /usr/lib/vmware-vmon/java-wrapper-vmon

 

分析服务

注意:- 以下解决方法(分析服务)仅适用于 vCenter Server Appliance 6.7 Update 3o 及更早版本。JAR 在更高版本中已更新到 2.11。
  1. 备份 log4j-core-2.8.2.jar 文件
cp -rfp /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar.bak
  1. 运行 zip 命令以禁用类
zip -q -d /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  1. 重新启动分析服务
service-control --restart vmware-analytics
 

CM 服务

  1. 备份 log4j-core.jar 文件
cp -rfp /usr/lib/vmware-cm/lib/log4j-core.jar /usr/lib/vmware-cm/lib/log4j-core.jar.bak
  1. 运行 zip 命令以禁用类
zip -q -d /usr/lib/vmware-cm/lib/log4j-core.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  1. 重新启动 CM 服务
service-control --restart vmware-cm
 

验证更改

完成所有部分后,请使用以下步骤确认它们是否已成功实现。
  1. 验证 vMON 服务是否使用新的-Dlog4j2.formatMsgNoLookups=true参数启动:
ps auxww | grep formatMsgNoLookups

检查进程是否包含-Dlog4j2.formatMsgNoLookups=true
  1. 验证分析服务更改:
grep -i jndilookup /usr/lib/vmware/common-jars/log4j-core-2.8.2.jar |厕所 -l
 
这应该返回 0 行
  1. 验证 CM 服务更改:
grep -i jndilookup /usr/lib/vmware-cm/lib/log4j-core.jar | wc -l

这应该返回 0 行

vCenter Server Appliance 6.5.x 变通办法

警告:已确认 vCenter Server 6.5 的变通办法仅部分解决 CVE-2021-44228。请订阅此知识库,以便在有完整的解决方法可用时收到警报。 解决方法需要应用于 vMON 服务和 CM 服务
 

vMON 服务

  1. 备份现有的 java-wrapper-vmon 文件
cp -rfp /usr/lib/vmware-vmon/java-wrapper-vmon /usr/lib/vmware-vmon/java-wrapper-vmon.bak
  1. 使用文本编辑器(如vi)更新 java-wrapper-vmon 文件
vi /usr/lib/vmware-vmon/java-wrapper-vmon
  1. 在文件的最底部,将最后一行替换为 2 个新行
    • 源语言
      exec $java_start_bin $jvm_dynargs "$@"

      Update

      log4j_arg="-Dlog4j2.formatMsgNoLookups=true"

      exec $java_start_bin $jvm_dynargs $log 4j_arg "$@"

  2. 重新启动 vCenter 服务
服务控制 --停止 --所有
服务-控制 --启动 --所有
 

注意:如果服务未启动,请确保使用以下命令正确设置文件权限:

  • chown root:cis /usr/lib/vmware-vmon/java-wrapper-vmon
  • chmod 754 /usr/lib/vmware-vmon/java-wrapper-vmon

CM 服务

  1. 备份 log4j-core.jar 文件
cp -rfp /usr/lib/vmware-cm/lib/log4j-core.jar /usr/lib/vmware-cm/lib/log4j-core.jar.bak
  1. 运行 zip 命令以禁用类
zip -q -d /usr/lib/vmware-cm/lib/log4j-core.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  1. 重新启动 CM 服务
service-control --restart vmware-cm
 

验证更改

完成所有部分后,请使用以下步骤确认它们是否已成功实现。
  1. 验证 vMON 服务是否使用新的-Dlog4j2.formatMsgNoLookups=true参数启动:
ps auxww | grep formatMsgNoLookups

检查进程是否包含-Dlog4j2.formatMsgNoLookups=true
  1. 验证 CM 服务更改:
grep -i jndilookup /usr/lib/vmware-cm/lib/log4j-core.jar | wc -l

这应该返回 0 行
 


 

 相关信息
要还原变通办法,请将修改后的文件替换为在每个步骤中创建的备份。
在执行此知识库中的步骤之前,需要禁用 VCHA。
 
  • 2021 年 12 月 12 日 - 太平洋标准时间 11:20:更新了知识库文章,其中提供了有关 6.5/6.7 部分解决漏洞的变通办法的建议

allway2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Log4j CVE-2021-44228 漏洞及Spring Boot解决方案
oscar999的专栏
12-17 2040
Log4j 的2 到 2.14 版本最近爆出了一个比较大的漏洞,漏洞编号是CVE-2021-44228。本篇对该漏洞进行简单介绍, 并介绍Spring Boot项目如何解决该漏洞。
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在内存...
刚刚公布的 Log4J 的史诗级安全漏洞 CVE-2021-44228 你处理了吗?
weixin_45987961的博客
12-15 5268
发生什么事了 Log4J 是一个应用非常广泛的Java库,就在前两天的2021年12月10日,Log4J的一个安全漏洞被公布了。那天正好是周五,很多程序员都在计划着怎么度过一个愉快的周末,不料这个安全漏洞的公开,使得全世界很多程序员不得不周末加班,有的甚至通宵达旦紧急应对。 漏洞编号为CVE-2021-44228 ,攻击者利用这个新的零日漏洞,可以远程执行恶意代码。 零日漏洞( zero-day )通常是指还没有补丁的安全漏洞。零日漏洞利用(zero-day exploit)的程序对网络安全具有..
VMware VCenter 6.5.x/6.7.x log4j漏洞临时措施 (CVE-2021-44228)
shoulham的博客
12-15 1115
对VCENTER进行log4j漏洞临时措施,建议参考下面VMware的kb进行操作和验证。 https://kb.vmware.com/s/article/87081?lang=en_US 这里对其一个步骤做下说明,无论是哪个版本的,都需要修改vMON服务,按照kb指引,是如下步骤 vMON Service 1、备份java-wrapper-vmon文件 cp -rfp /usr/lib/vmware-vmon/java-wrapper-vmon /usr/lib/vmware-vmon/java-wr
[漏洞预警]CVE-2021-44228:Apache Log4j2存在任意代码执行漏洞
「鸿渐之翼」的博客
12-11 4224
Apache Log4j2 存在任意代码执行漏洞 知柯信息安全,用心呵护您的安全! (CSDN二次通报) Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。所以本次出现的漏洞涉及范围极广。 知柯信息安全业务
Log4j2注入漏洞(CVE-2021-44228)万字深度剖析(一)—开篇与基础知识
跳小闹成长记
12-14 7465
本文将和大家一起对Log4j2的漏洞进行全面深入的剖析。我们将从如下几个方面进行讲解。 1、Log4j2漏洞的基本原理 2、Log4j2漏洞在Java高低版本的不同攻击原理 3、Log4j2漏洞在Java高低版本的攻击步骤 4、Log4j2漏洞在2.15.0-RC1被绕过的原因 5、Log4j2最终修复方案(2.15.0)的原理
CVE-2021-44228:Apache Log4j RCE
Fly_鹏程万里
12-18 1399
文章前言 本篇文章我们主要介绍关于CVE-2021-44228:Apache Log4j RCE漏洞的自检与修复,帮助甲方人员尽快修复项目存在的不安全依赖 漏洞概述 Apache Log4j2是⼀个基于Java的⽇志记录⼯具,该⼯具重写了Log4j框架,并且引⼊了⼤量丰富的特性,该⽇志框架被⼤量⽤于业务系统开发,⽤来记录⽇志信息,⼤多数情况下,开发者可能会将⽤户输⼊导致的错误信息写⼊⽇志,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执⾏漏洞。该漏洞
CVE-2021-44228——Log4j2-RCE漏洞复现
Li-D的博客
06-10 1768
Apache Log4j2是一个Java的日志组件,在特定的版本由于其启用了lookup功能,从而导致产生远程代码执行漏洞。
VMware_vCenter_UNAuthorized_RCE_CVE-2021-21972:VMware vCenter未授权RCE(CVE-2021-21972)
03-04
VMware_vCenter_UNAuthorized_RCE_CVE-2021-21972 zoomeye dork:app:“ VMware vCenter” 使用pocsuite3编写的无害检测 ,使用近一年的数据进行探测: 成功率大约:1551/3998 = 39%
【技术分享】vCenter Server CVE-2021-21985 RCE分析 .pdf
09-05
【vCenter Server CVE-2021-21985 RCE分析】 vCenter ServerVMware公司的一款核心虚拟化管理平台,用于集管理企业的私有云环境。2021年,360 Noah Lab的安全研究员Ricter Z发现了针对vCenter Server的重大安全...
CVE-2021-21972-vCenter-6.5-7.0-RCE-POC
03-04
CVE-2021-21972-vCenter-6.5-7.0-RCE-POCpoc只需验证某人的路径的返回状态POC仅用于测试,未添加EXP模块POC仅用于测试,未加入exp模块
CVE-2021-21972:CVE-2021-21972 VMware vCenter metasploit利用脚本的未经授权的RCE
03-08
CVE-2021-21972 VMware vCenter metasploit利用脚本的未经授权的RCE 准备 git clone https://github.com/TaroballzChen/CVE-2021-21972 cd CVE-2021-21972 mkdir -p ~ /.msf4/modules/exploits/multi/http cp * ~...
Apache Log4j 漏洞(JNDI注入 CVE-2021-44228
热门推荐
小龙在线
12-10 3万+
影响范围 2.0 <= Apache log4j <= 2.14.1 利用 import org.apache.log4j.Logger; import java.io.*; import java.sql.SQLException; import java.util.*; public class VulnerableLog4jExampleHandler implements HttpHandler { static Logger log = Logger.getLogger(l
springboot如何修复log4j2远程代码执行漏洞CVE-2021-44228(一行代码解决
城北荆无命的博客
12-15 973
log4j2的漏洞被爆出来这两天忙着修复负责的各系统的漏洞,一般maven的非springboot项目直接升级版本即可、但是springboot项目就算你使用的是logback来输出日志,仍然会存在漏洞的可能,log4j-api这个包是在spring-boot-starter-logging,只要你使用的是2.0版本以上的springboot就会有此漏洞。 废话少说了直接上代码, 版本一: 既然log4j的相关依赖在spring-boot-starter-logging那么直接用进行排除然后引入高本.
Log4j2远程代码执行漏洞(cve-2021-44228)复现
citytwilight的博客
05-22 2676
Log4j2远程代码执行漏洞(cve-2021-44228)复现(反弹shell)
Apache Log4j 2 ​远程代码执行漏洞 ( CVE-2021-44228 )​
itisauto2008的专栏
12-14 2049
Microsoft 继续分析2021 年 12 月 9 日披露的与 Apache Log4j(许多基于 Java 的应用程序使用的日志记录工具)相关的远程代码执行漏洞( CVE-2021-44228 )​。该漏洞是一种远程代码执行漏洞,可以让未经身份验证的攻击者获得对目标系统的完全访问权限。当易受攻击的 Log4j 2 组件解析和处理特制字符串时,可以触发它。这可能通过任何用户提供的输入发生。 该漏洞编号为CVE-2021-44228,称为“Log4Shell”,影响使用 Log4j 2 版本 2.0.
Log4j远程代码执行漏洞(CVE-2021-44228)漏洞复现
鸥鹭忘机
12-11 1万+
基本信息 漏洞编号:CVE-2021-44228 影响版本:2.x<=2.15.0-rc1 poc地址:https://gitee.com/lcosmos/apache-log4j-poc 在此十分感谢我的寝室长Cosmos提供的poc和技术支持。 原理简述 当log4j打印的日志内容包含${jndi:ldap://my-ip}时,程序就会通过ldap协议访问my-ip这个地址,然后my-ip就会返回一个包含java代码的class文件的地址,然后程序再通过返回的地址下载class文件并执行。 漏洞
Apache Log4j 2 漏洞修复指南(CVE-2021-44228
Wraith的博客
12-10 8147
Apache Log4j 2 漏洞修复指南 CVE-2021-44228 Log4j 团队已注意到一个安全漏洞 CVE-2021-44228,该漏洞已在 Log4j 2.15.0 得到解决。 Log4j 的 JNDI 支持没有限制可以解析的名称。某些协议不安全或允许远程代码执行。Log4j 现在默认将协议限制为仅 java、ldap 和 ldaps,并将 ldap 协议限制为默认仅访问本地主机上提供的 Java 原始对象。 允许暴露此漏洞的一个向量是 Log4j 允许查找出现在日志消息。从 Log4j
JWT整合Gateway实现鉴权(RSA与公私密钥工具类)
最新发布
qq_52351978的博客
06-19 1215
Component@Slf4j@Autowired@Autowired//核心过滤器方法@Override//设置白名单,白名单里面的请求路径,直接放行//判断path是否以allowPath开头//放行//1.获取请求的tokenif (cookie!=null){try {//2.解析token//3.放行=null){//如果出现异常,设置异常状态//过滤器执行顺序@Override。
cve-2021-45428
07-28
对于CVE-2021-45428,根据提供的引用内容,无法直接得出与该漏洞相关的信息。引用\[1\]和引用\[2\]提供了一些关于控制服务和Analytics服务的命令,但没有提及CVE-2021-45428。引用\[3\]是关于备份java-wrapper-vmon文件的命令,与CVE-2021-45428无关。请提供更多与CVE-2021-45428相关的信息,以便我能够为您提供更准确的答案。 #### 引用[.reference_title] - *1* *2* *3* [vCenter修复Apache log4j2漏洞(CVE-2021-44228, CVE-2021-45046)](https://blog.csdn.net/qq_27248929/article/details/122044216)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值