Nvidia、HPE、IBM公布受Log4j漏洞影响的产品

Log4j漏洞虽然已有修补程序公布，但仍余波荡漾。 Nvidia、HPE、IBM等软硬件大厂纷纷陆续公布受影响的产品清单，而已被开采漏洞的VMware则公布缓解方法。

Nvidia公布受3个漏洞影响的产品，包括编程模型CUDA 、遥测代理程序NetQ及人工智能系统DGX Systems。远程代码执行（RCE）漏洞CVE-2021-44228（即Log4Shell）及CVE-2021-45046影响CUDA Toolkit Visual Profiler及Nsight Eclipse Plugin Edition，以及vGPU Software License Server软件。

Nvidia指出，Log4j包含在CUDA Visual Profiler产品中，但并未使用，因此对用户Log4j的档案并没有任何风险，新版只是将之移除而已，新版预计2022年1月释出。 Nsight Eclipse Plugin Edition已释出最新的11.0版。 vGPU Software License Server部份，仅2021年7月版本及2020年5月Update 1（2020.05 Update 1）版本受影响。改安装其他版本（2020.05 Update 1以前版本）即可缓解。

NetQ 4.0.x版本以前受包括CVE-2021-44228、CVE-2021-45046及CVE-2021-45015（DoS漏洞）3个漏洞影响。 Nvidia已修补NetQ PaaS服务，本地部署的用户则需升级到NetQ 4.1.0版本。

Nvidia释出DGX系统，包括DGX-1、DGX-2、DGX A100、DGX Station、DGX Station A100操作系统OS4、OS5新版本，但解释这些产品本身并不包含Log4j Java函式库，不过为免用户安装了有漏洞的函式库，因而释出新版操作系统免除CVE-2021-44228、 CVE-2021-45046及CVE-2021-45015风险。

两大服务器厂商HPE和IBM也都分别公布受影响产品清单。 HPE修补产品涵括约60多项产品，包括电信产品、超融合Hyper Converged、3PAR、Ezmeral及超级计算机Cray System软件。

IBM也于上周公布受影响且修补好的产品清单，包括IBM-as-a Service（IBM代管的服务）、Cloud Pak系列、Cognos、DB2、Websphere、Tivoli、Sterling、SPSS等100多项软件。这清单尚不包括Z系列及LinuxOne软件信息。

此外， VMware遭到黑客开采产品漏洞散布Conti勒索程序，更新版释出时程未定，上周VMWare在圣诞前前夕公布缓解措施。受CVE-2021-44228 及 CVE-2021-45046影响的软件包括 vCenter Server 7.0.x、6.7.x 及 6.5.x版，因此VMware呼吁用户升级到安全版本，并且使用「vc_log4j_mitigator.py」Python script来关闭JDNI查询。