VMware ist einer der Her­steller, dessen Produkte durch die kritische Sicher­heits­lücke in log4j beson­ders gefähr­det sind. Dies trifft indes nicht auf das ganze Portfolio zu, ausge­nommen ist beispiels­weise der ESXi-Hypervisor. VMware arbeitet unter Hoch­druck daran, Patches und Work­arounds für anfällige Soft­ware bereit­zustellen.

Bei Apache log4j handelt es sich um eine Open-Source-Library, die in vielen Java-Anwendungen für das Event-Logging genutzt wird. Die kürzlich entdeckte Schwach­stelle mit der Bezeichnung Log4Shell (CVE-2021-44228) erlaubt es Angreifern, Code remote auszuführen und die Kontrolle über die Systeme zu übernehmen.

Zahlreiche Exploits

Seit der Entdeckung der Schwachstelle am 9. Dezember stellen Security-Firmen bereits eine Vielzahl von Angriffen auf log4j fest. Daher ist vonseiten der Anbieter und Anwender betroffener Produkte eine große Dringlichkeit geboten.

Status der betroffen Software

VMware listet auf dieser Seite sämtliche Produkte aus dem eigenen Haus auf, die durch die Sicher­heits­lücke gefährdet sind. Darunter finden sich essentielle Kompo­nenten der VMware-Plattform wie vCenter, Horizon, praktisch die ganze vRealize-Familie oder NSX.

Die Übersicht enthält eine Tabelle, die den aktuellen Status für jede Software widergibt. Dort finden sich Informationen zu verfügbaren Patches und Workarounds sowie die Versionen der bedrohten Anwendungen.

Die gute Nachricht ist, dass eine Reihe kritischer Produkte wie VMware ESXi, die VMware Tools, Desktop-Software wie die Workstation, Fusion oder ThinApp nicht betroffen sind. Eine vollständige Übersicht über die nicht gefährdeten Produkte findet sich auf dieser Seite.