PowerFlex 3.X: ゲートウェイおよびプレゼンテーション サーバーのApache Log4jセキュリティ脆弱性を修復する方法

PowerFlexプレゼンテーション サーバー オペレーティング システムに次の回避策を実装します。

オプション1:

1. PowerFlexサポート サイトから.zipファイル「log4j-2.17.1-presentation_server_mitigation.zip 」をダウンロードします: https://www.dell.com/support/home/en-us/product-support/product/scaleio/drivers

注：これには、ログイン権限が必要です https://www.dell.com/support

2. プレゼンテーション サーバーにSSH接続し、関連する認証情報を使用してログインします。 SCPまたはWinSCPを使用して、ログインしているフォルダーに.zipをコピーします。

RHELまたはCentOS 6、7、8、SLES15.x、Ubuntu 18/20の場合は、次の変更を使用して、このセキュリティの脆弱性を軽減します。

• PowerFlex 3.6または3.5の場合は、次の手順を実行します。
  1. ファイルが次の場所にあることを確認します:ls /opt/emc/scaleio/mgmt-server/lib/ |grep log4。
  2. 次のコマンドを実行して削除します。 

rm /opt/emc/scaleio/mgmt-server/lib/log4j-*
unzip log4j-2.17.1-presentation_server_mitigation.zip -d /opt/emc/scaleio/mgmt-server/lib

注:オペレーティングシステムで解凍する必要がない場合は、 tar -xvf <zipファイル> を使用するか、unzipをインストールできます。

chown mgmt-server /opt/emc/scaleio/mgmt-server/lib/log4j*
chgrp mgmt-server /opt/emc/scaleio/mgmt-server/lib/log4j*

この設定手順が完了したら、次の手順を実行します。

• SELinuxが有効になっているシステムで実行している場合は、次のコマンドを実行します。

restorecon -Fv /opt/emc/scaleio/mgmt-server/lib/log4j*

RHEL 7.xまたは8.x、SLES、Ubuntuを搭載したPowerFlex 3.6の場合は、次の手順に従います。

1. 次のコマンドを使用して、mgmt-serverサービスを再起動します(上記のすべてのバージョンが対象)。

systemctl restart mgmt-server

• RHEL 6.xを搭載したPowerFlex 3.6の場合は、次の手順に従います。
  1. サービスを再起動するには、次のコマンドを使用します。

initctl stop mgmt-server
initctl start mgmt-server

• RHEL 7.xまたは8.xのPowerFlex 3.5の場合は、次の手順に従います。

1. 次のコマンドを使用して、デーモン構成ファイルを再ロードします。

systemctl daemon-reload

2. 次のコマンドを使用して、mgmt-serverサービスを再開します。

systemctl restart mgmt-server.service

これにより、パラメーターを適切に読み取ることができるようになります。デーモン構成ファイルを再ロードせずにサービスを再起動すると、メモリー内の内容が使用され、パラメーターの変更は使用されません。

• RHEL 6.xのPowerFlex 3.5の場合は、次の手順に従います。
  1. サービスを再起動するには、次のコマンドを使用します。

initctl stop mgmt-server
initctl start mgmt-server

この時点では、ログは有効のままであり、脆弱性が含まれています。別の回避策として、プレゼンテーション サーバー上でlog4jファイルを移動または削除することもできますが、これにより、プレゼンテーション サーバーのログが停止します。すべての構成の変更は、MDMとトレース ログに引き続き記録されます。

オプション2:

• 次の手順を実行して、オペレーティング システムからLog4jファイルを削除します。

注：このオプションでは、プレゼンテーション サーバーのログ機能は削除されますが、MDMイベント ログは引き続き機能し、クラスター イベントを登録します

次のコマンドを実行します。

rm -f /opt/emc/scaleio/mgmt-server/lib/log4j*

この設定手順が完了したら、次の手順を実行します。

• RHEL 7.xまたは8.xを搭載したPowerFlex 3.6の場合は、次の手順に従います。
  1. 次のコマンドを使用して、mgmt-serverサービスを再起動します(上記のすべてのバージョンが対象)。

systemctl restart mgmt-server

• RHEL 6.xを搭載したPowerFlex 3.6の場合は、次の手順に従います。
  1. サービスを再起動するには、次のコマンドを使用します。

initctl stop mgmt-server
initctl start mgmt-server

• RHEL 7.xまたは8.xのPowerFlex 3.5の場合は、次の手順に従います。
  1. 次のコマンドを使用して、デーモン構成ファイルを再ロードします。

systemctl daemon-reload

2. 次のコマンドを使用して、mgmt-serverサービスを再開します。

systemctl daemon-reload

これにより、新しいjarをリロードできます。デーモン構成ファイルを再ロードせずにサービスを再起動すると、メモリー内の内容が使用され、変更は使用されません。

• RHEL 6.xのPowerFlex 3.5の場合は、次の手順に従います。
  1. サービスを再起動するには、次のコマンドを使用します。

initctl stop mgmt-server
initctl start mgmt-server

この時点では、ログは有効ではなく、脆弱性が含まれています。