-Status 15 januari 2022 (NL)-

Vanuit de leverancier Huawei hebben we inmiddels de update gekregen dat de uitgebrachte patches ten behoeve van de LOG4J2 vulnerability beschikbaar zijn. Deze betreffen de patches voor de eSight en Agile Controller-Campus appliances.

Hierbij nogmaals een overzicht van de getroffen versies en bijbehorende patches.

Huawei IP/Security Products:

Agile Controller-Campus

Huawei heeft AnyLinQ tevens een lijst afgegeven met IP/Security producten (niet uitputtend) die kwetsbaar zijn. Deze zijn:

Voor de Agile controller Campus appliance, welke de kwetsbare versie draaien, is de volgende patch beschikbaar(Agile Controller-Campus V100R003C60SPC216) met bijbehorende installatiedocument op de support website van de leverancier(Huawei Enterprise Product & Service Support – Huawei).

eSight

Betreffende de eSight appliance en welke producten/versies hiervan kwetsbaar zijn is het volgende overzicht door de leverancier aangeleverd.

Inmiddels zijn de patches eSight V300R010C00CP5035(Windows platform) en eSight V300R010C00SPC653(EulerOS platform) beschikbaar met bijbehorende installatiedocument op de support website van de leverancier (Huawei Enterprise Product & Service Support – Huawei).

-Status January 15, 2022 (EN)-

From the supplier Huawei we have now received the update that the released patches for the LOG4J2 vulnerability are available. These concern the patches for the eSight and Agile Controller-Campus appliances.

Here again an overview of the affected versions and associated patches.

Huawei IP/Security Products:

Agile Controller-Campus

Huawei has also issued AnyLinQ with a list of IP/Security products (not exhaustive) that are vulnerable. These are:

Regarding the Agile controller Campus appliance which run a vulnerable version, the following patch(Agile Controller-Campus V100R003C60SPC216) is available along with the installation manual on the support website of the supplier (Huawei Enterprise Product & Service Support – Huawei).

eSight

Regarding the eSight appliance, the following products/versions are vulnerable along with the expected release date for the patches.

At the moment the following eSight patches: V300R010C00CP5035 (Windows platform) and eSight V300R010C00SPC653 (EulerOS platform) are available along with the installation manual on the support website of the supplier (Huawei Enterprise Product & Service Support – Huawei)

-Status 11 januari 2022 (NL)-

Wederom nieuwe informatie Dorado V6

Vandaag hebben we (helaas verandert de informatie weer) nieuwe info gekregen van Huawei, waardoor voor de v6 systemen nu drie opties ontstaan.

1) Als het systeem draait op versie 6.0.1 
    a) Zelf patchen met SPH25 is voldoende voor log4j. Is in te laden via de devicemanager zonder impact. Patch is bij ons op te vragen indien gewenst.
    b) Upgrade door ons (i.s.m. Huawei) laten uitvoeren naar versie 6.1.2 en daarna SPH7, hiervoor is een offerte benodigd.

2) Als het systeem draait op versie 6.1.0 
    a) Wachten tot eind januari, patch voor de log4j vulnerability voor deze versie komt dan pas uit. Daarna wel zelf uit te voeren
    b) Upgrade door ons (i.s.m. Huawei) laten uitvoeren naar versie 6.1.2 en daarna SPH7, hiervoor is een offerte benodigd.

3) Als het systeem draait op versie 6.1.2
    a) Zelf patchen met SPH7 is voldoende voor log4j. Is in te laden via de devicemanager zonder impact. Patch is bij ons op te vragen indien gewenst.

-Status January 11, 2022 (EN)-

New information about Dorado V6

Today we got new information from Huawei about the Dorado V6. Unfortunately the information changes again. We have now the following options for the Dorado V6 to patch for log4j.

1) If the system runs on version 6.0.1 
    a) Patching the system yourself with SPH25 is sufficient for patching log4j. The patch is installed by loading it via the devicemanager without impact. The patch can be supplied on demand by AnyLinQ.
    b) Upgrade executed by us (together with Huawei) to version 6.1.2 and after that patch SPH7. For this, a quote is needed.

2) If the system runs on version 6.1.0 
    a) Wait until the end of January. The patch for log4j for this software version is expected to be released by then. It can be patched yourself when it is released.
    b) Upgrade executed by us (together with Huawei) to version 6.1.2 and after that patch SPH7. For this, a quote is needed.

3) If the system runs on version 6.1.2
    a) Patching the system yourself with SPH7 is sufficient for patching log4j. The patch is installed by loading it via the devicemanager without impact. The patch can be supplied on demand by AnyLinQ.

-Status 10 januari 2022 (NL)-

Patches voor Huawei software uitgebracht en nieuwe informatie Dorado V6

Systemreporter
Op te lossen door het storagesysteem naar de laatste versie te brengen en de nieuwste versie van systemreporter te installeren. Deze staat bij elk storagesysteem afhankelijk van welk type. Klik op het juiste storagesysteem op de volgende link:
https://support.huawei.com/enterprise/en/category/centralized-storage-pid-1482606575525?submodel=software

Ultrapath
Op te lossen door op alle (Windows) hosts de nieuwste versie van Ultrapath te installeren (selecteer op de volgende link bovenaan Ultrapath 31 in de dropdown, en kies dan voor versie 31.1.0):
https://support.huawei.com/enterprise/en/centralized-storage/ultrapath-pid-8576127/software

BCmanager
Op te lossen door de nieuwste versie van BCmanager te installeren. Selecteer op de volgende link in de Dropdown 8.2.0 en kies daarna voor versie 8.2.0.SPC100:
https://support.huawei.com/enterprise/en/centralized-storage/ultrapath-pid-8576127/software

eService Client
Op te lossen door de nieuwste versie van de eService client te installeren. Deze is te vinden op de volgende link (gebruik versie 3.0.28)
https://support.huawei.com/enterprise/en/centralized-storage/eservice-pid-22379482/software

Smartkit
Op te lossen door de nieuwste versie van Smartkit handmatig te installeren. Updaten werkt voor alsnog niet. Deze is te vinden op de volgende link (Gebruik V200R007C00RC10SPC100):
https://support.huawei.com/enterprise/en/centralized-storage/smartkit-pid-8576706/software

Oceanstor Dorado V6
In tegenstelling tot alle andere oceanstor systemen, is enkel de dorado V6 wel vulnerable. Hiervoor ligt het eraan op welke versie de storage draait:

a) Draait het systeem op versie 6.0.1 dan kan hotpatch SPH25 online worden ingeladen via de devicemanager. Dit lost de vulnerability op. Deze patch is momenteel bij ons op te vragen. Aan te raden is wegens features en support daarna wel een upgrade te doen naar versie 6.1.2– Neem contact op met ons, voor meer informatie hoe we hierbij kunnen helpen.

b) Draait het systeem op versie 6.1.0 dan is een upgrade noodzakelijk naar 6.1.2 (contacteer ons hiervoor – Deze upgrade moet via analyse en uitvoering door een partner en/of Huawei gebeuren). Hierna moet SPH7 worden ingeladen, waarna het systeem gereed is.

-Status January 10, 2022 (EN)-

Patches for Huawei software released and new information about Dorado V6

Systemreporter
This is solved by bringing the storage to the latest software level and install the newest version of systemreporter. This software is located at the storage system and depends on the type. Click on the right storage type on the following link: https://support.huawei.com/enterprise/en/category/centralized-storage-pid-1482606575525?submodel=software

Ultrapath
This is solved by upgrading all Ultrapath (on Windows hosts) to the latest level. (Click on the below link and select Ultrapath 31 in the dropdown and choose version 31.1.0):
https://support.huawei.com/enterprise/en/centralized-storage/ultrapath-pid-8576127/software

BCmanager
This is solved by installing the newest version of BCmanager. Click on the below link and select 8.2.0 in the dropdown. After that choose version 8.2.0.SPC100:
https://support.huawei.com/enterprise/en/centralized-storage/ultrapath-pid-8576127/software

eService Client
This is solved by installing the newest version of the eService client. This is found at the following link (use version 3.0.28):
https://support.huawei.com/enterprise/en/centralized-storage/eservice-pid-22379482/software

Smartkit
This is solved by installing the newest version of Smartkit manually. Automatic upgrade from the software doesn’t work for this moment. This is found on the following link (use version V200R007C00RC10SPC100):
https://support.huawei.com/enterprise/en/centralized-storage/smartkit-pid-8576706/software

Oceanstor Dorado V6
In contrast to all other Oceanstor systems, only de Dorado V6 is vulnerable. It depends on which version it runs for the strategy:

a) Is the system running on version 6.0.1, then hotpach SPH25 can be loaded in online from the devicemanager. This fixes the vulnerability. We can deliver this patch on demand. After this, it is recommended to still upgrade to firmware version 6.1.2 for new features and longer support. – Contact us for the possibilities.

b) Is the system runining on version 6.1.0, then an upgrade is necessary to version 6.1.2 (Contact us for this. This upgrade must be analyzed and performed by a partner or Huawei). After this SPH7 must be loaded and the system is ready.

-Status 6 januari 2022 (NL)-

Huawei Oceanstor Dorado V6 serie (alle types) – Dorado v3 is not vulnerable

Voor alle Huawei Oceanstor Dorado V6 producten, welke nu op versie 6.0.1 of 6.1.0 draaien, geldt dat deze geupgrade moeten worden. Deze zijn vulnerable voor de log4j vulnerability.

Deze zullen geupgraded moeten worden naar versie 6.1.2. Na de update dient hotpatch SPH7 ook toegepast te geworden. Voor meer informatie of het uitvoeren van de upgrade, kunt u contact opnemen met AnyLinQ.

-Status January 6, 2022 (EN)-

Huawei Oceanstor Dorado V6 Series (all types) – Dorado v3 is not vulnerable

For all Huawei Oceanstor Dorado V6 products, which now run on version 6.0.1 or 6.1.0, must be upgraded. They are vulnerable for the log4j vulnerability.

They must be upgraded to version 6.1.2. After the upgrade , hotpatch SPH7 must also be applied. For more information or the execution of the upgrade, contact AnyLinQ.

-Status 31 december 2021 (NL)-

Agile Controller-Campus

Voor dit product heeft Huawei een nieuwe release datum aangekondigd ten behoeve van Log4J. Deze is 9 januari 2022. Meer informatie kunt u vinden in bijgevoegde link.

https://uniportal.huawei.com/uniportal/?redirect=https%253A%252F%252Fsupport.huawei.com%252Fenterprise%252Fen%252Fbulletins-product%252FENEWS2000012672

-Status December 31, 2021 (EN)-

Agile Controller-Campus

Huawei has announced a new release date for this product with regards to Log4J. This is January 9, 2022. More information can be found in the attached link.

https://uniportal.huawei.com/uniportal/?redirect=https%253A%252F%252Fsupport.huawei.com%252Fenterprise%252Fen%252Fbulletins-product%252FENEWS2000012672

-Status 30 december 2021 (NL)-

Commvault:

Commvault heeft na aanleiding van de laatst gevonden kwetsbaarheden voor Log4J (CVE-2021-44832) een statement uitgebracht. Deze is als volgt: “The Commvault software does not use the JdbcAppender module and, therefore, the vulnerability about remote code execution attack does not affect any Commvault products.” U kunt dit terug vinden in de bijgevoegde link: https://documentation.commvault.com/v11/essential/146231_security_vulnerability_and_reporting.html

-Status December 29, 2021 (EN)-

Commvault:

Commvault has released a statement in response to the latest vulnerabilities for Log4J (CVE-2021-44832). It is as follows: “The Commvault software does not use the JdbcAppender module and, therefore, the vulnerability about remote code execution attack does not affect any Commvault products.”. You can find this statement in the attached link: https://documentation.commvault.com/v11/essential/146231_security_vulnerability_and_reporting.html

-Status 29 december 2021 (NL)-

U vindt een nieuwe statusupdate met betrekking tot de Log4J situatie in aanvulling op de eerder beschikbaar gestelde informatie (zie eerdere status updates hieronder).
Vanochtend is er een nieuwe kwetsbaarheid bekend geworden in het inmiddels beruchte Log4j. In deze link kunt u hier meer informatie over vinden: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832. Inmiddels heeft de NCSC deze kwetsbaarheid ook geaccordeerd: https://advisories.ncsc.nl/advisory?id=NCSC-2021-1094.

In de nieuwe log4j update (versie 2.17.0) is een mate van kwetsbaarheid gevonden. Het risico heeft de score van 6,6 en is daarmee lager gescoord dan de vorige constatering. Er is een nieuwe versie voor gepubliceerd te weten versie 2.17.1. Deze versie is veilig. Er zijn vanuit onze leveranciers nog geen updates gekomen hierop. Deze verwachten we wel. Wij houden nauw contact met onze leveranciers en volgen tevens hun berichtgeving op de voet. Zodra vanuit onze leveranciers officieel een reactie gegeven wordt hierop zullen we dat beoordelen en communiceren zoals u dat van ons gewend bent. Wij adviseren u regelmatig onze website of Self Service Portal hiervoor te checken.

-Status December 29, 2021 (EN)-

You will find a new status update regarding the Log4J situation in addition to the previously made available information (see previous status updates below).
This morning a new vulnerability was revealed in the now infamous Log4j. You can learn more about it in this link: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44832. The NCSC has now also approved this vulnerability: https://advisories.ncsc.nl/advisory?id=NCSC-2021-1094.

A degree of vulnerability has been found in the new log4j update (version 2.17.0). The risk has a score of 6.6 and is therefore lower than the previous. A new version has been published, being version 2.17.1. This version is safe. There have been no updates from our suppliers on this yet. We do expect this to receive. We keep close contact with our suppliers and also follow their reporting closely. As soon as our suppliers officially respond to this, we will assess and communicate this as you are acustomed. We advise you to regularly check our website or Self Service Portal.

-Status 27 december 2021 (NL)-

U vindt een nieuwe statusupdate met betrekking tot de Log4J situatie in aanvulling op de eerder beschikbaar gestelde informatie (zie eerdere status updates hieronder).

Huawei IT Products:

Huawei Storage Hardware & Software Vulnerabilities: Log4j

Product Vulnerability Datum Patch Versie Patch
Oceanstor v3/Dorado v3 Hardware niet vulnerable. Enkel bijbehorende systemreporter software (indien gebruikt), workaround beschikbaar op aanvraag. 9-1-2022 Nog niet bekend
Oceanstor v5 Hardware niet vulnerable. Enkel de bijbehorende systemreporter en smartconfig software (indien gebruikt), workaround beschikbaar op aanvraag. 9-1-2022 Nog niet bekend
Oceanstor Ultrapath Windows versie is vulnerable. Andere OS versie’s niet. Ultrapath versie 1.6.3, 31.0.0, 31.0.1, or 31.0.2 zijn vulnerable Workaround beschikbaar op aanvraag. 9-1-2022 31.1.0
Oceanstor BCManager Alle versie’s vulnerable. Workaround beschikbaar op aanvraag. 9-1-2022 8.2.0.SPC1
eService Enkel de eService client op een VM of fysieke server is vulnerable. eService direct vanuit storage is niet vulnerable. Workaround beschikbaar op aanvraag. 5-1-2022 3.0.28
Smartkit Smartkit (alle versie’s) is vulnerable. Workaround beschikbaar op aanvraag. 5-1-2022 V200R007C00RC10SPC100

Huawei eSight

Voor uw gemak hebben we in bijgevoegde link een stappenplan gemaakt die u helpt met de workarounds voor de getroffen eSight varianten/versies:
https://cloud.anylinq.com/index.php/s/TMBF2ZDmCzZdjD4.
Voor de overige details verwijzen we u hierbij naar eerder beschikbaar gestelde informatie (zie eerdere status updates hieronder).

-Status December 27, 2021 (EN)-

You will find a new status update regarding the Log4J situation in addition to the previously made available information (see previous status updates below).

Huawei IT Products:

Huawei Storage Hardware & Software Vulnerabilities: Log4j

Product Vulnerability Datum Patch Versie Patch
Oceanstor v3/Dorado v3 Hardware not vulnerable. Only systemreporter software for the system (if used), workaround available on request. 9-1-2022 Not known yet
Oceanstor v5 Hardware not vulnerable. Only systemreporter and smartconfig software for the system (if used), workaround available on request. 9-1-2022 Not known yet
Oceanstor Ultrapath Windows version is vulnerable. Other OS versions are not. Ultrapath versions 1.6.3, 31.0.0, 31.0.1, or 31.0.2 are vulnerable Workaround available on request. 9-1-2022 31.1.0
Oceanstor BCManager All versions vulnerable. Workaround available on request. 9-1-2022 8.2.0.SPC1
eService Only the eService client on a vm or physical server is vulnerable. eService directly from the storage is not vulnerable. Workaround available on request. 5-1-2022 3.0.28
Smartkit Smartkit (all versions) are vulnerable. Workaround available on request. 5-1-2022 V200R007C00RC10SPC100

Huawei eSight

For your convenience, we have made a step-by-step plan in the attached link that helps you with the workarounds for the affected eSight variants/versions.
https://cloud.anylinq.com/index.php/s/TMBF2ZDmCzZdjD4.
For further details, please refer to previously made available information (see previous status updates below).

English below

– Status 23 december 2021 (NL) –

Graag brengen we u wederom op de hoogte met betrekking tot de Log4j-situatie. Wij adviseren u deze site alsook de voor u relevante sites (zoals o.a. hieronder) meermaals per week te bezoeken!

Commvault

Commvault een nieuwe set hofixes uitgebracht om de laatste CVE’s voor log4j te patchen. Deze zijn nu voor alle ondersteunde feature releases beschikbaar in de laatste maintenance release. Wij raden aan om deze naar alle servers met Commvault-software te pushen: https://documentation.commvault.com/11.24/essential/146231_security_vulnerability_and_reporting.html

Klanten met een AnyCare Premier of “… as a Service” contract zijn hierover reeds geïnformeerd!

VMWare:

De updates van VMWare kunt u in onderstaande link terugvinden. U kunt hier de gedetailleerde details per product terugvinden met betrekking tot welke patch of workaround hiervoor beschikbaar is op dit moment.

https://www.vmware.com/security/advisories/VMSA-2021-0028.html

Wel hebben we een kleine samenvatting (niet uitputtend):

Soort oplossing Producten
Patch uitgebracht Horizon, HCX, NSX-T Datacenter, Unified Access Gateway, Workspace ONE access, Identity Manager, vRealize Operations, Carbon Black Cloud Workload Appliance, Site Recovery Manager/vSphere Replication, Tanzu Gemfire, Tanzu Gemfire for VM’s, Tanzu Operations Manager, Tanzu Application Service for VM’s, Tanzu Observability by Wavefront Nozzle, Healthwatch for Tanzu Application Service, Spring Cloud Services for VMware Tanzu, Spring Cloud gateway for VMware Tanzu, Spring Cloud Gateway for Kubernetes, API Portal for VMware Tanzu, Single Sign On for VMware Tanzu Application Service, App Metrics, Workspace ONE Access Connector, Horizon Cloud connector, Cloud Director Object Storage Extension, Telco Cloud Operations, vRealize Log Insight, Tanzu Scheduler, Cloud Provider Lifecycle Manager, Horizon Agents Installer, Tanzu Observability Proxy
Workaround uitgebracht, nog geen patch vCenter Server (Appliance), vCenter Server (Windows), vRealize Operations Cloud Proxy, vRealize Automation, vRealize Lifecycle Manager, Carbon Black EDR Server, Tanzu Greenplum, Tanzu Kubernetes Grid Integrated Edition, vCenter Cloud Gateway, vRealize Orchestrator, Cloud Foundation, Horizon DaaS, NSX Data Center for Vsphere, AppDefence Appliance, Smart Assurance NCM, Smart Assurance SAM, Integrated OpenStack, vRealize Business for Cloud, vRealize Network Insight, SD-WAN VCO, NSX-T Intelligence Appliance, Smart Assurance M&R
Niet kwetsbaar HCX 4.3

Dell Products

De updates van Dell kunt u in onderstaande link terugvinden:

https://www.dell.com/support/kbdoc/nl-nl/000194414/dell-response-to-apache-log4j-remote-code-execution-vulnerability

Lenovo Products

De updates van Lenovo kunt u in onderstaande link terugvinden:

https://support.lenovo.com/nl/en/product_security/ps500457-apache-log4j-vulnerability

Zerto:

Hier vindt u de meest actuele status terug van Zerto:

https://help.zerto.com/kb/000004822

Fortinet:

Hier vindt u de meest actuele status terug van Fortinet:

https://www.fortiguard.com/psirt/FG-IR-21-245

Huawei IT Products:

Huawei heeft AnyLinQ een lijst afgegeven met IT-producten (niet uitputtend) die kwetsbaar zijn. Deze is hier te vinden.

Voor deze IT-producten heeft Huawei nog geen officiële oplossing (release/patch/versie/…). Huawei heeft aangegeven dat zij werken aan de definitieve oplossingen voor hun producten. Voor specifieke gevallen heeft Huawei aangegeven dat er workarounds beschikbaar zijn. Dit geldt voor Huawei Software Tooling. Indien u daarvan gebruik maakt en u hiervoor een workaround wenst, kunt u zich wenden tot onze Service Desk of meldt u een ticket aan via onze Self Service Portal. Wij helpen u met het verifiëren bij Huawei GTAC indien dat voor u van toepassing is.

Bij het aanmelden zien we graag de volgende informatie van u:

– uw Huawei productspecificatie;

– uw Huawei contractnummer;

– uw serienummer(s); en

– uw licentiegegevens (type, versie, licentienummer, …).

Dit helpt ons met het snel schakelen met Huawei GTAC.

Klanten met een AnyCare Premier of “… as a Service” contract worden hier vanzelfsprekend proactief over benaderd.

Huawei IP/Security Products:

Agile Controller-Campus

Huawei heeft AnyLinQ tevens een lijst afgegeven met IP/Security producten (niet uitputtend) die kwetsbaar zijn. Deze zijn hier te vinden.

Voor deze IP-/Security-producten heeft Huawei nog geen officiële oplossing (release/patch/versie/…). Huawei heeft wel met betrekking tot deze lijst aangegeven dat ten behoeve van de Huawei Agile functionaliteit zij verwachten dat er vóór 01/01/2022 een software patch beschikbaar is.

Huawei eSight

Betreffende de eSight appliance en welke producten/versies hiervan kwetsbaar zijn, is dit overzicht door de leverancier aangeleverd.

Huawei heeft aangegeven vóór 16/01/2022 verwachten een software patch uit te kunnen geven ten behoeve van de Huawei Esight functionaliteit.

Klanten met een AnyCare Premier of “… as a Service” contract worden hier vanzelfsprekend proactief over benaderd.

Huawei General:

Hier vindt de meest actuele status terug van Huawei:

Hardware Storage: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Hardware Servers: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Security NGFW’s: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Software Esight: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Software Agile: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Mist u informatie of heeft u een tip laat het ons weten! Stuur een mail naar [email protected] Wij vertrouwen erop u hiermee voldoende te hebben ingelicht.

– Status December 23, 2021 (EN) –

We would like to inform you again regarding the log4j situation. We advise you to visit this site as well as the sites relevant to you (such as below) several times a week!

Commvault

Commvault released a new set of hofixes to patch the latest CVEs for log4j. These are now available for all supported feature releases in the latest maintenance release. We recommend pushing these to all servers with Commvault software: https://documentation.commvault.com/11.24/essential/146231_security_vulnerability_and_reporting.html

Customers with an AnyCare Premier or “… as a Service” contract have already been informed about this!

VMWare:

You can find the updates of VMWare in the link below. Here you can find detailed details per product regarding which patch or workaround is currently available.

https://www.vmware.com/security/advisories/VMSA-2021-0028.html

For your convenience we have made a small overview (not limited):

Soort oplossing Producten
Patch uitgebracht Horizon, HCX, NSX-T Datacenter, Unified Access Gateway, Workspace ONE access, Identity Manager, vRealize Operations, Carbon Black Cloud Workload Appliance, Site Recovery Manager/vSphere Replication, Tanzu Gemfire, Tanzu Gemfire for VM’s, Tanzu Operations Manager, Tanzu Application Service for VM’s, Tanzu Observability by Wavefront Nozzle, Healthwatch for Tanzu Application Service, Spring Cloud Services for VMware Tanzu, Spring Cloud gateway for VMware Tanzu, Spring Cloud Gateway for Kubernetes, API Portal for VMware Tanzu, Single Sign On for VMware Tanzu Application Service, App Metrics, Workspace ONE Access Connector, Horizon Cloud connector, Cloud Director Object Storage Extension, Telco Cloud Operations, vRealize Log Insight, Tanzu Scheduler, Cloud Provider Lifecycle Manager, Horizon Agents Installer, Tanzu Observability Proxy
Workaround uitgebracht, nog geen patch vCenter Server (Appliance), vCenter Server (Windows), vRealize Operations Cloud Proxy, vRealize Automation, vRealize Lifecycle Manager, Carbon Black EDR Server, Tanzu Greenplum, Tanzu Kubernetes Grid Integrated Edition, vCenter Cloud Gateway, vRealize Orchestrator, Cloud Foundation, Horizon DaaS, NSX Data Center for Vsphere, AppDefence Appliance, Smart Assurance NCM, Smart Assurance SAM, Integrated OpenStack, vRealize Business for Cloud, vRealize Network Insight, SD-WAN VCO, NSX-T Intelligence Appliance, Smart Assurance M&R
Niet kwetsbaar HCX 4.3

Dell Products

Dell updates can be found in the link below.

https://www.dell.com/support/kbdoc/nl-nl/000194414/dell-response-to-apache-log4j-remote-code-execution-vulnerability

Lenovo Products

You can find the updates from Lenovo in the link below

https://support.lenovo.com/nl/en/product_security/ps500457-apache-log4j-vulnerability

Zerto:

Here you will find the most current status of Zerto:

https://help.zerto.com/kb/000004822

Fortinet:

Here you will find the most current status of Fortinet:

https://www.fortiguard.com/psirt/FG-IR-21-245

Huawei IT Products:

Huawei has provided AnyLinQ with a list of IT products (not limited) that are vulnerable. The list can be found here.

Huawei does not yet have an official solution for these IT products (release/patch/version/…). Huawei has indicated that they are working on the final solutions for their products. For specific cases, Huawei did mention that workarrounds are available. This applies to Huawei Software Tooling. If you use these toolings and you want a workaround for this, you can contact our Service Desk or register a ticket via our Self Service Portal. We will help you verify with Huawei GTAC if that is applicable to you. When registering, we would like to receive the following information from you:

– your Huawei product specification;

– your Huawei contract number;

– your serial number(s); and

– your license data (type, version, license number, …).

This helps us to act swiftly with Huawei GTAC.

Customers with an AnyCare Premier or “… as a Service” contract are/will be proactively approached about this!

Huawei IP/Security Products:

Agile Controller-Campus

Huawei has also provided AnyLinQ with a list of IP/Security products (not limited) that are vulnerable. The list can be found here.

For these IP/Security products, Huawei does not yet have an official solution (release/patch/version/…). Huawei has indicated with regard to this list that they expect a software patch to be available before 01/01/2022 for the Huawei Agile functionality.

Huawei eSight

Regarding the eSight appliance with its various products/versions the following overview presents both the affected versions as well as the patch to solve the vulnerability.

It has also been indicated by Huawei that they expect to be able to issue a software patch for the Huawei Esight functionality before 16/01/2022.

Customers with an AnyCare Premier or “… as a Service” contract are/will be proactively approached about this!

Huawei General:

Here you will find the most current status from Huawei:

Hardware Storage: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Hardware Servers: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Security NGFW’s: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Software Esight: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Software Agile: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Are you missing information or do you have a tip, let us know! Send an email to [email protected] We trust to have informed you sufficiently.

-Status 21 december 2021-

Op 10 december is door het National Cyber Security Center (NCSC) een urgente melding gemaakt over een ernstige kwetsbaarheid in de zogeheten Apache Log4j tooling. Deze tooling wordt vaak door (web)applicaties gebruikt. Onze klanten hebben wij de afgelopen week meerdere e-mails gestuurd om iedereen zo goed mogelijk op de hoogte te houden over de ontwikkeling rondom deze kwetsbaarheid. Wij baseren ons op diverse informatiebronnen om altijd een afgewogen besluit te kunnen nemen met betrekking tot de kwetsbaarheid. Hierbij zorgen we er uiteraard voor dat het klantbelang voorop staat. Een goede bron van informatie is het zogenaamde Digital Trust Center van onze overheid. Via deze link is alle waardevolle informatie terugvinden.

<https://www.digitaltrustcenter.nl/nieuws/kritieke-kwetsbaarheid-in-apache-log4j-2>

AnyLinQ staat voortdurend in nauw contact met haar leveranciers. Zo zorgen we ervoor dat wij onze klanten zo zorgvuldig en tijdig mogelijk kunnen informeren en adviseren. Voor klanten die bij ons een AnyCare Premier of een AnyCare “… as a Service” contract hebben, zullen wij vanuit onze beheerverantwoordelijkheid zorgen dat de omgeving voorzien is/wordt van de patch levels zoals deze door de leveranciers wordt geadviseerd. Klanten die bij ons een AnyCare Basic of een AnyCare Advanced contract hebben, zijn zelf verantwoordelijk voor het onderhoud en updaten naar de juiste patch levels van hun infrastructuur. Wij zullen iedereen zo goed als mogelijk adviseren over de te nemen stappen. Om daarbij extra te helpen, zijn hieronder links te vinden die iedereen in staat stellen de meest actuele adviezen te verkrijgen bij de diverse leveranciers (niet uitputtend). Wij adviseren iedereen om deze regelmatig te controleren op eventuele updates.

Commvault:

<https://documentation.commvault.com/v11/essential/146231_security_vulnerability_and_reporting.html>

Huawei:

Hardware Storage: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Hardware Servers: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Security NGFW’s: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Software Esight: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Software Agile: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

VMWare:

<https://www.vmware.com/security/advisories/VMSA-2021-0028.html>

Fortinet:

< https://www.fortiguard.com/psirt/FG-IR-21-245>

Wij vertrouwen erop iedereen hiermee voldoende te hebben geïnformeerd. Mocht u alsnog vragen hebben, neem contact op met onze Service Desk.

———————-

On December 10 the National Cyber ​​Security Center (NCSC) made an urgent report about a serious vulnerability in the so-called Apache Log4j tooling. This tooling is often used by (web) applications. We have sent our customers several emails in the past week in order to update you on this matter. We rely on various information sources to always be able to make a well-considered decision with regard to the vulnerability. Of course we make sure that the customer’s interests come first. A good source is the so-called Digital Trust Center of our government. You can find all valuable information yourself via this link.

<https://www.digitaltrustcenter.nl/nieuws/kritieke-kwetsbaarheid-in-apache-log4j-2>

AnyLinQ is in constant close contact with its suppliers. In this way we ensure that we can inform and advise our customers as carefully and in a timely manner as possible. If you have an AnyCare Premier or an AnyCare “… as a Service” contract with us, we will ensure that your environment is/will be provided with the patch levels such as advised by the suppliers as part of our managed service responsibility. If you have an AnyCare Basic or an AnyCare Advanced contract with us, you as a customer are responsible for maintaining your environment and therefore also ensure that your environment is at the correct patch level. We will advise you as best as possible about the steps to be taken. To help you with that, please find below links that enable you to obtain the most current advice from the various suppliers (not limited). We recommend everyone to check it regularly for any updates.

Commvault:

<https://documentation.commvault.com/v11/essential/146231_security_vulnerability_and_reporting.html>

Huawei:

Hardware Storage: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Hardware Servers: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Security NGFW’s: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Software Esight: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

Software Agile: <https://www.huawei.com/en/psirt/security-notices/huawei-sn-20211210-01-log4j2-en>

VMWare:

<https://www.vmware.com/security/advisories/VMSA-2021-0028.html>

Fortinet:

<https://www.fortiguard.com/psirt/FG-IR-21-245>

We trust to have informed you sufficiently. In case you have any questions, please contact our Service Desk.