VMware 产品出现另一个严重漏洞，危险性直逼 Log4j-低调大师

VMware 产品出现另一个严重漏洞，危险性直逼 Log4j

2021-12-19 887

VMware 可能度过了忙碌的一周，因为这个 IT 巨头的 100 多个产品都受到了 Log4j bug 的影响。然而屋漏偏逢连夜雨， Log4j 漏洞还没处理完，VMware 不得不面对另一项紧急修补工作 —— 安全公告 VMSA-2021-0029，此漏洞与 CVE-2021-22054 相关：VMware 的 Workspace ONE 统一端点管理 (UEM) 产品中的服务器端伪造请求。

此漏洞评分为 9.1 “危急”，VMware 的 VMSA-2021-0029 漏洞公告并未提供关于该安全漏洞的太多信息，仅说明：

具有 UEM 网络访问权限的恶意行为者，可以在未经身份验证的情况下发送他们的请求，并可能利用此问题来访问敏感信息。

这个漏洞说明和 Log4shell 漏洞竟如此相似：“未经身份验证的情况下发送请求”，足以表明这是一个可怕的缺陷。因为 UEM 系统可以管理数万个端点。VMware 的 UEM 可以处理运行 Windows、macOS、Chrome OS、iOS、Android 和 IoT 设备的设备。

但幸运的是，据外媒 the Register 介绍，已有两种方式可以修补此漏洞。

其一是 VMware 在此处提供的补丁。
其二是用七行代码修补 Workspace ONE UEM 的 web.config 文件，然后重启 IIS。

<rule name="Blob_Handler_Block" enabled="true" stopProcessing="true">
     <match url="^(Catalog|AirWatch)\/BlobHandler\.ashx" />
     <conditions>
         <add input="{QUERY_STRING}" pattern="(&amp;url|^url)=" />
     </conditions>
     <action type="CustomResponse" statusCode="404" statusReason="Security" statusDescription="Resource not found" />
</rule>

然而，按照 VMware 的说法，用户需要在“每一台环境中安装了 UEM 控制台应用程序的 Windows 服务器”上进行这些更改，使用 UEM 的 VMware 客户估计又要失去一个周末了。

微信关注我们

原文链接：https://www.oschina.net/news/174477/vmware_uem_flaw

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Apache Pulsar 针对 Log4j2 漏洞 (CVE-2021-44228) 的解决方案

作者：Matteo Merli，Apache Pulsar PMC 主席，StreamNative CTO 近日，由于Apache Log4j2 某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。该漏洞的细节和修复进展可以参考CVE-2021-44228[1]. Apache Pulsar 的当前版本捆绑受此漏洞影响的 Log4j2 版本。我们强烈建议您遵循 Apache Log4j 社区的建议并尽快修补您的系统。针对 Apache Pulsar 系统而言，有两种解决方法可以修补 Pulsar 部署。您可以设置以下任一项： 1.Java属性：-Dlog4j2.formatMsgNoLookups=true 2.环境变量：LOG4J_FORMAT_MSG_NO_LOOKUPS=true 以上两种方法都可以有效缓解 Pulsar 服务的漏洞。此外，当使用 Kubernetes 运行时运行 Pulsar Functions 时，您应该按照以下示例[2]更新 Docker 镜像。如果您使用 Pulsar Helm Chart 在 Kubernetes 中进行 Pu...

2021-12-19

672

Apache Log4j 的 2.0-alpha1 到 2.16.0 版本存在新的漏洞CVE-2021-45105，此漏洞评分 7.5 ，且在刚发布的 Log4j 2.17.0 (Java 8) 中得到了修复。如果把安全公司 Praetorian 发现的第三个信息泄露漏洞也算进去，这应该是 Log4j 的第四个漏洞了。漏洞详情 Apache Log4j2 版本 2.0-alpha1 到 2.16.0 没有防止自引用查找的不受控制的递归。当日志配置使用带有上下文查找的非默认模式布局（例如，$${ctx:loginId}）时，控制线程上下文映射 (MDC) 输入数据的攻击者可以制作包含递归查找的恶意输入数据，导致 StackOverflowError 将终止进程。这也称为 DOS（拒绝服务）攻击。缓解措施从 2.17.0 版本（对于 Java 8）开始，只有配置中的查找字符串被递归扩展；在任何其他用法中，仅解析顶级查找，不解析任何嵌套查找。在以前的版本中，可以通过确保您的日志记录配置执行以下操作来缓解此问题：在日志记录配置的 PatternLayout 中，用线程上下文映射模式（...

2021-12-19

587

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。