<div dir="ltr"><div><br></div><div></div><div>Ano, ak mate iba Apache a nemate nainstalovanu Javu a Log4j, tak OK. <br></div><div>Ale ono to nie je iba httpd Log4j v Apache v ponimani dedikovany WEB server.Tieto prvky su integrovane do mnozstva produktov mnozstva SW vyrobcov...</div><div>Aj vyrobcov HW, ktorych vyrobky pouzivaju WEB rozhranie na spravu, alebo komunikaciu medzi zariadeniami, alebo SW komponentami v jednom zariadeni.</div><div></div><div><br></div><div></div><div>Namatkovo z oblasti VMware zoznam produktov s problemom:</div><div></div><div><div class="gmail-secadvheading gmail-section">
<div class="gmail-section-custom">
<div class="gmail-container-fluid">
<div class="gmail-row">
<div class="gmail-col-md-12">
<h5 class="gmail-mt-30"><b>1. Impacted Products (Under Evaluation)</b></h5>
</div>
</div>
</div>
</div></div>
<div class="gmail-paragraphText gmail-parbase gmail-section"><div class="gmail-section-custom">
<div class="gmail-container-fluid">
<div class="gmail-row">
<div class="gmail-col-md-12">
<ul><li>VMware Horizon<br>
</li><li>VMware vCenter Server</li><li>VMware HCX<br>
</li><li>VMware NSX-T Data Center</li><li>VMware Unified Access Gateway</li><li>VMware WorkspaceOne Access</li><li>VMware Identity Manager </li><li>VMware vRealize Operations</li><li>VMware vRealize Operations Cloud Proxy</li><li>VMware vRealize Automation<br>
</li><li>VMware vRealize Lifecycle Manager</li><li>VMware Site Recovery Manager, vSphere Replication<br>
</li><li>VMware Carbon Black Cloud Workload Appliance</li><li>VMware Carbon Black EDR Server</li><li>VMware Tanzu GemFire<br>
</li><li>VMware Tanzu Greenplum</li><li>VMware Tanzu Operations Manager</li><li>VMware Tanzu Application Service for VMs</li><li>VMware Tanzu Kubernetes Grid Integrated Edition</li><li>VMware Tanzu Observability by Wavefront Nozzle</li><li>Healthwatch for Tanzu Application Service<br>
</li><li>Spring Cloud Services for VMware Tanzu</li><li>Spring Cloud Gateway for VMware Tanzu</li><li>Spring Cloud Gateway for Kubernetes</li><li>API Portal for VMware Tanzu</li><li>Single Sign-On for VMware Tanzu Application Service</li><li>App Metrics</li><li>VMware vCenter Cloud Gateway</li><li>VMware vRealize Orchestrator<br>
</li><li>VMware Cloud Foundation</li><li>VMware Workspace ONE Access Connector</li><li>VMware Horizon DaaS</li><li>VMware Horizon Cloud Connector<br>
</li><li>VMware NSX Data Center for vSphere</li><li>VMware AppDefense Appliance</li><li>VMware Cloud Director Object Storage Extension</li><li>VMware Telco Cloud Operations<br>
</li><li>VMware vRealize Log Insight</li><li>VMware Tanzu Scheduler</li><li>VMware Smart Assurance NCM</li><li>VMware Smart Assurance SAM [Service Assurance Manager]<br>
</li><li>VMware Integrated OpenStack</li><li>VMware vRealize Business for Cloud</li><li>VMware vRealize Network Insight</li></ul></div></div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">st 15. 12. 2021 o 16:45 Jindroush <<a href="mailto:jindroush@seznam.cz">jindroush@seznam.cz</a>> napísal(a):<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Mirne upresneni v mezich zakona:<br>
<br>
Apache je dnes nadace, ktera zastresuje radu ruznych projektu.<br>
<br>
Kdysi se pojmem Apache oznacoval prevazne jejich httpd server.<br>
<br>
Chyba se tyka javove knihovny Log4j vyvijene Apache. Chyba se netyka <br>
weboveho httpd serveru.<br>
Takze pokud je soucasti neceho Apache httpd, nemelo by se ho to varovani <br>
tykat, ne?<br>
<br>
J.<br>
<br>
On 15.12.2021 16:39, Josef Zeman wrote:<br>
> Dobrý den<br>
><br>
> Díky za informaci. O den předběhla naše security, takže když poslali<br>
> varování, tak jsem mohl obratem odpovědět, že na mých strojích je už<br>
> hotovo. Dodavatel jednoho "postiženého" systému odpověděl, že nová<br>
> verze, která problém odstraní, bude v prvním čtvrtletí :-) Jeho<br>
> součástí je Apache. Update knihovny na 2.16.0 nic nerozbil.<br>
><br>
> Zeman<br>
><br>
>> Trochu si zaspamuju, ale je to opravdu prusvih.<br>
>><br>
>> Pravdepodobne jste o tom uz slyseli - jedna se o problem v apache<br>
>> knihovne ktera se pouziva skoro vsude kde je java a potrebujete<br>
>> logovat.<br>
>><br>
>> Popis problem treba tady<br>
>><br>
>> <a href="https://www.wired.com/story/log4j-flaw-hacking-internet/" rel="noreferrer" target="_blank">https://www.wired.com/story/log4j-flaw-hacking-internet/</a><br>
>><br>
>> Je potreba si uvedomit, ze je to opravdu skoro vsude a nase firewally<br>
>> zachycuji aktivni pouzivani techto exploit. Jinak bych sem nepsal.<br>
>> Sam jsem doma upravoval kde co pocinaje minecraftem (i klient) a<br>
>> konce domaci automatizaci<br>
>><br>
>> Oprav existuje nekolik - dat posledni verzi pridat java parametr<br>
>> -Dlog4j2.formatMsgNoLookups=true pripadne se da kuchnout jarko a<br>
>> udelat tam vymenu classy<br>
>><br>
>> J.V.<br>
>><br>
> _______________________________________________<br>
> HW-list mailing list - sponsored by <a href="http://www.HW.cz" rel="noreferrer" target="_blank">www.HW.cz</a><br>
> <a href="mailto:Hw-list@list.hw.cz" target="_blank">Hw-list@list.hw.cz</a><br>
> <a href="http://list.hw.cz/mailman/listinfo/hw-list" rel="noreferrer" target="_blank">http://list.hw.cz/mailman/listinfo/hw-list</a><br>
<br>
<br>
-- <br>
Jindroush <<a href="mailto:jindroush@seznam.cz" target="_blank">jindroush@seznam.cz</a>><br>
<br>
_______________________________________________<br>
HW-list mailing list - sponsored by <a href="http://www.HW.cz" rel="noreferrer" target="_blank">www.HW.cz</a><br>
<a href="mailto:Hw-list@list.hw.cz" target="_blank">Hw-list@list.hw.cz</a><br>
<a href="http://list.hw.cz/mailman/listinfo/hw-list" rel="noreferrer" target="_blank">http://list.hw.cz/mailman/listinfo/hw-list</a><br>
</blockquote></div>