Nvidia、HPE、IBM公布受Log4j漏洞影響的產品

12/29資訊更新 Log4j再傳RCE漏洞，Apache釋出2.17.1新版

Log4j漏洞雖然已有修補程式公布，但仍餘波蕩漾。Nvidia、HPE、IBM等軟硬體大廠紛紛陸續公布受影響的產品清單，而已被開採漏洞的VMware則公布緩解方法。

Nvidia公布受3個漏洞影響的產品，包括程式設計模型CUDA 、遙測代理程式NetQ及人工智慧系統DGX Systems。遠端程式碼執行（RCE）漏洞CVE-2021-44228（即Log4Shell）及CVE-2021-45046影響CUDA Toolkit Visual Profiler及Nsight Eclipse Plugin Edition，以及vGPU Software License Server軟體。

Nvidia指出，Log4j包含在CUDA Visual Profiler產品中，但並未使用，因此對使用者Log4j的檔案並沒有任何風險，新版只是將之移除而已，新版預計2022年1月釋出。Nsight Eclipse Plugin Edition已釋出最新的11.0版。vGPU Software License Server部份，僅2021年7月版本及2020年5月Update 1（2020.05 Update 1）版本受影響。改安裝其他版本（2020.05 Update 1以前版本）即可緩解。

NetQ 4.0.x版本以前受包括CVE-2021-44228、CVE-2021-45046及CVE-2021-45105（DoS漏洞）3個漏洞影響。Nvidia已修補NetQ PaaS服務，本地部署的用戶則需升級到NetQ 4.1.0版本。

Nvidia釋出DGX系統，包括DGX-1、DGX-2、DGX A100、DGX Station、DGX Station A100作業系統OS4、OS5新版本，但解釋這些產品本身並不包含Log4j Java函式庫，不過為免使用者安裝了有漏洞的函式庫，因而釋出新版作業系統免除CVE-2021-44228、CVE-2021-45046及CVE-2021-45015風險。

兩大伺服器廠商HPE和IBM也都分別公布受影響產品清單。HPE修補產品涵括約60多項產品，包括電信產品、超融合Hyper Converged、3PAR、Ezmeral及超級電腦Cray System軟體。

IBM也於上周公布受影響且修補好的產品清單，包括IBM-as-a Service（IBM代管的服務）、Cloud Pak系列、Cognos、DB2、Websphere、Tivoli、Sterling、SPSS等100多項軟體。這清單尚不包括Z系列及LinuxOne軟體資訊。

此外， VMware遭到駭客開採產品漏洞散布Conti勒索程式，更新版釋出時程未定，上周VMWare在聖誕節前夕公布緩解措施。受CVE-2021-44228 及 CVE-2021-45046影響的軟體包括 vCenter Server 7.0.x、6.7.x 及 6.5.x版，因此VMware呼籲用戶升級到安全版本，並且使用「vc_log4j_mitigator.py」Python script來關閉JDNI查詢。

最新緩解方式適用於vCenter Server 和 vCenter Cloud Gateway兩項產品。

熱門新聞