12/29資訊更新  Log4j再傳RCE漏洞,Apache釋出2.17.1新版

Log4j漏洞雖然已有修補程式公布,但仍餘波蕩漾。Nvidia、HPE、IBM等軟硬體大廠紛紛陸續公布受影響的產品清單,而已被開採漏洞的VMware則公布緩解方法。

Nvidia公布受3個漏洞影響的產品,包括程式設計模型CUDA 、遙測代理程式NetQ及人工智慧系統DGX Systems。遠端程式碼執行(RCE)漏洞CVE-2021-44228(即Log4Shell)及CVE-2021-45046影響CUDA Toolkit Visual Profiler及Nsight Eclipse Plugin Edition,以及vGPU Software License Server軟體。

Nvidia指出,Log4j包含在CUDA Visual Profiler產品中,但並未使用,因此對使用者Log4j的檔案並沒有任何風險,新版只是將之移除而已,新版預計2022年1月釋出。Nsight Eclipse Plugin Edition已釋出最新的11.0版。vGPU Software License Server部份,僅2021年7月版本及2020年5月Update 1(2020.05 Update 1)版本受影響。改安裝其他版本(2020.05 Update 1以前版本)即可緩解。

NetQ 4.0.x版本以前受包括CVE-2021-44228、CVE-2021-45046及CVE-2021-45105(DoS漏洞)3個漏洞影響。Nvidia已修補NetQ PaaS服務,本地部署的用戶則需升級到NetQ 4.1.0版本。

Nvidia釋出DGX系統,包括DGX-1、DGX-2、DGX A100、DGX Station、DGX Station A100作業系統OS4、OS5新版本,但解釋這些產品本身並不包含Log4j Java函式庫,不過為免使用者安裝了有漏洞的函式庫,因而釋出新版作業系統免除CVE-2021-44228、CVE-2021-45046及CVE-2021-45015風險。

兩大伺服器廠商HPE和IBM也都分別公布受影響產品清單。HPE修補產品涵括約60多項產品,包括電信產品、超融合Hyper Converged、3PAR、Ezmeral及超級電腦Cray System軟體。

IBM也於上周公布受影響且修補好的產品清單,包括IBM-as-a Service(IBM代管的服務)、Cloud Pak系列、Cognos、DB2、Websphere、Tivoli、Sterling、SPSS等100多項軟體。這清單尚不包括Z系列及LinuxOne軟體資訊。

此外, VMware遭到駭客開採產品漏洞散布Conti勒索程式,更新版釋出時程未定,上周VMWare在聖誕節前夕公布緩解措施。受CVE-2021-44228 及 CVE-2021-45046影響的軟體包括 vCenter Server 7.0.x、6.7.x 及 6.5.x版,因此VMware呼籲用戶升級到安全版本,並且使用「vc_log4j_mitigator.py」Python script來關閉JDNI查詢。

最新緩解方式適用於vCenter Server 和 vCenter Cloud Gateway兩項產品。

 相關報導 

 12/22相關報導  1.7萬個Maven Java套件受Log4j漏洞影響

 12/21相關報導  WebSocket成Log4j漏洞攻擊新管道,連不對外網路主機也曝險

 Log4j相關修補時間軸  Apache Log4j日誌框架系統重大漏洞

熱門新聞

Advertisement