Nvidia、HPE、IBM公布受Log4j漏洞影響的產(chǎn)品

Log4j漏洞雖然已有修補(bǔ)程序公布，但仍余波未平。Nvidia、HPE、IBM等軟硬件大廠紛紛陸續(xù)公布受影響的產(chǎn)品清單，而已被開(kāi)采漏洞的VMware則公布緩解決方案法。

Nvidia公布受3個(gè)漏洞影響的產(chǎn)品，包括程序設(shè)計(jì)模型CUDA、遙測(cè)代理程序NetQ及人工智能系統(tǒng)DGX Systems。遠(yuǎn)程程序代碼執(zhí)行（RCE）漏洞CVE-2021-44228（即Log4Shell）及CVE-2021-45046影響CUDA Toolkit Visual Profiler及Nsight Eclipse Plugin Edition，以及vGPU Software License Server軟件。

Nvidia指出，Log4j包含在CUDA Visual Profiler產(chǎn)品中，但并未使用，因此對(duì)用戶Log4j的文件并沒(méi)有任何風(fēng)險(xiǎn)，新版只是將之移除而已，新版預(yù)計(jì)2022年1月發(fā)布。Nsight Eclipse Plugin Edition已發(fā)布最新的11.0版。vGPU Software License Server部分，僅2021年7月版本及2020年5月Update 1（2020.05 Update 1）版本受影響。改安裝其他版本（2020.05 Update 1以前版本）即可緩解。

NetQ 4.0.x版本以前受包括CVE-2021-44228、CVE-2021-45046及CVE-2021-45105（DoS漏洞）3個(gè)漏洞影響。Nvidia已修補(bǔ)NetQ PaaS服務(wù)，本地部署的用戶則需升級(jí)到NetQ 4.1.0版本。

Nvidia發(fā)布DGX系統(tǒng)，包括DGX-1、DGX-2、DGX A100、DGX Station、DGX Station A100操作系統(tǒng)OS4、OS5新版本，但解釋這些產(chǎn)品本身并不包含Log4j Java函數(shù)庫(kù)，不過(guò)為免用戶安裝了有漏洞的函數(shù)庫(kù)，因而發(fā)布新版操作系統(tǒng)免除CVE-2021-44228、CVE-2021-45046及CVE-2021-45015風(fēng)險(xiǎn)。

兩大服務(wù)器廠商HPE和IBM也都分別公布受影響產(chǎn)品清單。HPE修補(bǔ)產(chǎn)品涵蓋約60多項(xiàng)產(chǎn)品，包括電信產(chǎn)品、超融合Hyper Converged、3PAR、Ezmeral及超級(jí)計(jì)算機(jī)Cray System軟件。

IBM也于上周公布受影響且修補(bǔ)好的產(chǎn)品清單，包括IBM-as-a Service（IBM托管的服務(wù)）、Cloud Pak系列、Cognos、DB2、Websphere、Tivoli、Sterling、SPSS等100多項(xiàng)軟件。這清單尚不包括Z系列及LinuxOne軟件信息。

此外，VMware遭到黑客開(kāi)采產(chǎn)品漏洞傳播Conti勒索程序，更新版發(fā)布進(jìn)程未定，上周VMWare在圣誕節(jié)前夕公布緩解措施。受CVE-2021-44228及CVE-2021-45046影響的軟件包括vCenter Server 7.0.x、6.7.x及6.5.x版，因此VMware呼吁用戶升級(jí)到安全版本，并且使用“vc_log4j_mitigator.py”P(pán)ython script來(lái)關(guān)閉JDNI查詢。

最新緩解決方案式適用于vCenter Server和vCenter Cloud Gateway兩項(xiàng)產(chǎn)品。

12/22相關(guān)報(bào)道1.7萬(wàn)個(gè)Maven Java組件受Log4j漏洞影響

12/21相關(guān)報(bào)道WebSocket成Log4j漏洞攻擊新渠道，連不對(duì)外網(wǎng)絡(luò)主機(jī)也曝險(xiǎn)

Log4j相關(guān)修補(bǔ)時(shí)間軸Apache Log4j日志框架系統(tǒng)重大漏洞