VMware ist einer der Hersteller, dessen Produkte durch die kritische Sicherheitslücke in log4j besonders gefährdet sind. Dies trifft indes nicht auf das ganze Portfolio zu, ausgenommen ist beispielsweise der ESXi-Hypervisor. VMware arbeitet unter Hochdruck daran, Patches und Workarounds für anfällige Software bereitzustellen.
Bei Apache log4j handelt es sich um eine Open-Source-Library, die in vielen Java-Anwendungen für das Event-Logging genutzt wird. Die kürzlich entdeckte Schwachstelle mit der Bezeichnung Log4Shell (CVE-2021-44228) erlaubt es Angreifern, Code remote auszuführen und die Kontrolle über die Systeme zu übernehmen.
Zahlreiche Exploits
Seit der Entdeckung der Schwachstelle am 9. Dezember stellen Security-Firmen bereits eine Vielzahl von Angriffen auf log4j fest. Daher ist vonseiten der Anbieter und Anwender betroffener Produkte eine große Dringlichkeit geboten.
Status der betroffen Software
VMware listet auf dieser Seite sämtliche Produkte aus dem eigenen Haus auf, die durch die Sicherheitslücke gefährdet sind. Darunter finden sich essentielle Komponenten der VMware-Plattform wie vCenter, Horizon, praktisch die ganze vRealize-Familie oder NSX.
Die Übersicht enthält eine Tabelle, die den aktuellen Status für jede Software widergibt. Dort finden sich Informationen zu verfügbaren Patches und Workarounds sowie die Versionen der bedrohten Anwendungen.
Die gute Nachricht ist, dass eine Reihe kritischer Produkte wie VMware ESXi, die VMware Tools, Desktop-Software wie die Workstation, Fusion oder ThinApp nicht betroffen sind. Eine vollständige Übersicht über die nicht gefährdeten Produkte findet sich auf dieser Seite.