Log4j漏洞虽然已有修补程序公布,但仍余波未平。Nvidia、HPE、IBM等软硬件大厂纷纷陆续公布受影响的产品清单,而已被开采漏洞的VMware则公布缓解决方案法。
Nvidia公布受3个漏洞影响的产品,包括程序设计模型CUDA、遥测代理程序NetQ及人工智能系统DGX Systems。远程程序代码执行(RCE)漏洞CVE-2021-44228(即Log4Shell)及CVE-2021-45046影响CUDA Toolkit Visual Profiler及Nsight Eclipse Plugin Edition,以及vGPU Software License Server软件。
Nvidia指出,Log4j包含在CUDA Visual Profiler产品中,但并未使用,因此对用户Log4j的文件并没有任何风险,新版只是将之移除而已,新版预计2022年1月发布。Nsight Eclipse Plugin Edition已发布最新的11.0版。vGPU Software License Server部分,仅2021年7月版本及2020年5月Update 1(2020.05 Update 1)版本受影响。改安装其他版本(2020.05 Update 1以前版本)即可缓解。
NetQ 4.0.x版本以前受包括CVE-2021-44228、CVE-2021-45046及CVE-2021-45105(DoS漏洞)3个漏洞影响。Nvidia已修补NetQ PaaS服务,本地部署的用户则需升级到NetQ 4.1.0版本。
Nvidia发布DGX系统,包括DGX-1、DGX-2、DGX A100、DGX Station、DGX Station A100操作系统OS4、OS5新版本,但解释这些产品本身并不包含Log4j Java函数库,不过为免用户安装了有漏洞的函数库,因而发布新版操作系统免除CVE-2021-44228、CVE-2021-45046及CVE-2021-45015风险。
两大服务器厂商HPE和IBM也都分别公布受影响产品清单。HPE修补产品涵盖约60多项产品,包括电信产品、超融合Hyper Converged、3PAR、Ezmeral及超级计算机Cray System软件。
IBM也于上周公布受影响且修补好的产品清单,包括IBM-as-a Service(IBM托管的服务)、Cloud Pak系列、Cognos、DB2、Websphere、Tivoli、Sterling、SPSS等100多项软件。这清单尚不包括Z系列及LinuxOne软件信息。
此外,VMware遭到黑客开采产品漏洞传播Conti勒索程序,更新版发布进程未定,上周VMWare在圣诞节前夕公布缓解措施。受CVE-2021-44228及CVE-2021-45046影响的软件包括vCenter Server 7.0.x、6.7.x及6.5.x版,因此VMware呼吁用户升级到安全版本,并且使用“vc_log4j_mitigator.py”Python script来关闭JDNI查询。
最新缓解决方案式适用于vCenter Server和vCenter Cloud Gateway两项产品。
12/22相关报道1.7万个Maven Java组件受Log4j漏洞影响
12/21相关报道WebSocket成Log4j漏洞攻击新渠道,连不对外网络主机也曝险
Log4j相关修补时间轴Apache Log4j日志框架系统重大漏洞