Da qualche giorno è stata pubblicata una nuova vulnerabilità che impatta una libreria java (Log4j) molto diffusa e utilizzata in diversi prodotti commerciali. Facciamo il punto della situazione sui prodotti VDI.
In particolare VMware e Citrix, così come tutti i vendor, hanno immediatamente pubblicato un bollettino di sicurezza per chiarire la situazione della vulnerabilità sui propri prodotti.
Ad oggi Citrix sembra essere immune da questa vulnerabilità, anche se alcuni prodotti sono ancora sotto indagine.
Un po’ più complessa la situazione per VMware, che segnala impatti sia sul vCenter che su Horizon (e altri prodotti). VMware sta lavorando al rilascio di patch definitive, ma nel breve ha messo a disposizione una serie di workaround per inibire l’efficacia di questa vulnerabilità. Il bollettino di sicurezza è in continua evoluzione per cui vi rimando al documento VMWare per avere informazioni aggiornate.
Per ulteriori informazioni:
Aggiornamento 16/12/2021: Citrix ha aggiornato il bollettino di sicurezza e rilasciato le patch per XenMobile che è risultato vulnerabile. Mancano ancora all’appello alcuni componenti di Virtual Apps & Desktops (come il VDA Linux) di cui non ci sono ancora conferme.
Aggiornamento 17/12/2021: Citrix ha confermato la vulnerabilità anche sui VDAgent Linux in CR (quindi non sulle LTSR)