VxRail: VxRail Manager arbeider rundt for å løse sikkerhetsproblem med Apache Log4Shell (CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104)

Apache Software Foundation har publisert informasjon om et kritisk sikkerhetsproblem med kjøring av apache Log4j-bibliotek som er kjent som Log4Shell i henhold til GitHub Advisory Database (også beskrevet i CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104). VxRail Manager er utsatt for problemet som er beskrevet i sikkerhetsproblemet.

Merk: Ytterligere to CVE-er, CVE-2021-45046 og CVE-2021-4104, rapporteres som indikerer at den opprinnelige anbefalingen om å løse problemet som er beskrevet i CVE-2021-44228 (Log4j 2.x), ikke er en komplett løsning.

Hvis du vil ha mer informasjon om disse CVE-ene, kan du se følgende artikler:

• Sikkerhetsproblemer med Apache Log4j
• CVE-2021-45046 (Log4j 2.15)
• CVE-2021-4104 (Log4j 1.2)

Merk: Skriptet i denne artikkelen er oppdatert til versjon 1.1.2 som inkluderer utbedringer som er anbefalt for alle tre CVE-er, CVE-2021-44228, CVE-2021-45046 og CVE-2021-4104.

Det ble oppdaget et ekstra problem i det forrige skriptet, noe som kan føre til at en berørt fil blir gjenopprettet på VxRail Manager fra et systemarkiv. Dette problemet er også løst i denne utgivelsen.

Hvis du brukte tidligere skript som ble levert med denne artikkelen, laster du ned det nyeste skriptet (1.1.2) og kjører det på VxRail Manager for å sikre at du har den fullstendige løsningen.
 

Krav og omfang

Dette omfanget av hva som dekkes av utbedringstrinnene i denne artikkelen, er:

• Denne artikkelen gjelder for VxRail Manager i VxRail 4.5.x-, 4.7.x- og 7.0.x-utgivelser sammen med VxRail Manager i VCF 3.x- og 4.x-utgivelser.
• Trinnene for skript og utbedring ga utbedring av sikkerhetsproblemet kun i VxRail Manager Appliance VM.
• Andre komponenter utenfor VxRail Manager, for eksempel vCenter Server Appliance (vCSA), NSX og så videre, må begrenses separat, og er ikke i dette skriptet.
• Skriptet utbedrer heller ikke noen applikasjoner eller tjenester som kjører inne i VM-er, noe som kan være utsatt for sikkerhetsproblemet. Dell EMC anbefaler at alle kunder sjekker med sine applikasjoner eller programvareleverandører for tjenester som kjører i VIRTUELLE-er, for å sikre at de ikke blir påvirket.

Koblinger til berørte VMware-produkter og potensielle midlertidige løsninger er beskrevet i følgende VMware VMSA-artikkel:

• VMware Security Advisory VMSA-2021-0028

VMware gir et skript for å automatisere utbedringen i vCenter Server Appliance i følgende artikkel:

• Python-skript for å automatisere midlertidige trinn for VMSA-2021-0028-sikkerhetsproblem på vCenter Server Appliance (87088)

Vedlagt i denne artikkelen er file fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip som inneholder skriptet kun for VxRail Manager.
 

VxRail-utgivelser med løsning er inkludert

Dette problemet er løst i følgende VxRail-programvareversjoner:

• Programvare for VxRail-pakke 7.0.320
• VxRail Appliance-programvare 4.7.541
• VxRail Appliance-programvare 4.5.471

Det anbefales å oppgradere til en VxRail-programvareversjon som inkluderer reparasjonen.
Skriptet anbefales for kunder som ikke kan oppgradere umiddelbart.

Merk: Hvis VxRail 7.0.xxx-klyngen administreres av en kundeadministrert vCenter, kan du se følgende artikkel for ytterligere hensyn som kan gjelde:

• Dell EMC VxRail: Oppgradering av ekstern vCenter til 7.0 U3c eller nyere mislykkes ved forhåndskontroll på grunn av at vertene ikke oppgraderes først.

 

Utbedringstrinn

Utbedringen mot problemet utfører følgende trinn:

1. Last ned fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-filen som er vedlagt i denne artikkelen.
2. Last opp .zip-filen til VxRail Manager ved hjelp av mystic user over SCP (WinSCP er et eksempel på en SCP-klient som kan brukes).
3. Logg på VxRail Manager VM-konsollen eller SSH ved hjelp av mystic-brukeren. 
4. Endre katalogen til der du lastet opp ZIP-filen, og pakk den ut ved hjelp av utpakkingskommandoen:
   mystic@vxrm:~> pakke ut fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-arkiv
   :  fixlog4j-CVE-2021-44228-CVE-2021-45046-v-1-1-2.zip-ing
   : fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
5. Gjør skriptet kjørbart ved hjelp av chmod-kommandoen :
   mystic@vxrm:~> chmod +x fixlog4j-CVE-2021-44228-CVE-2021-45046.sh
6. Logg på som VxRail Manager-rotbruker ved hjelp av su-kommandoen :
   mystic@vxrm:~> su –
   passord:
7. Kontroller at du er i samme katalog der du pakket ut skriptpakken:
   vxrm:~ # cd /home/mystic
   vxrm:/home/mystic #
8. Kjør skriptet:
   vxrm:/home/mystic # ./fixlog4j-CVE-2021-44228-CVE-2021-45046.sh

   Eksempel på skriptutdata:
   Stopp PST og service før oppdatering av systemet
   
   /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar påvirkes av CVE-2021-44228 og CVE-2021-45046, må bruke patching
   /mystic/connectors/eservice/lib/log4j-core-2.0 13.0.jar
   vellykket patched /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar
   
   /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar påvirkes av CVE-2021-44228 og CVE-2021-45046, må bruke korrigeringsfilen
   patching /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar
   successfully patched /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar
   
   For å sikre at det ikke blir lastet inn på nytt, vi må også pakke .war-filen.
   Ser også ut som /usr/lib/vmware-rothing/webapps/ROOT.war inneholder det ugyldige log4j-core-biblioteket WEB-INF/lib/log4j-core-2.13.0.jar
   Archive:  /usr/lib/vmware-watred/watd/webapps/ROOT.war
   følgende: OPPDATERING AV WEB-INF/lib/log4j-core-2.13.0.jar
   Patching WEB-INF/lib/log4j-core-2.13.0.jar i /usr/lib/vmware-pst/pstd/webapps/ROOT.war
   Repack /usr/lib/vmware-dll/patchd/webapps/ROOT.war-oppdatering
   : WEB-INF/lib/log4j-core-2.13.0.jar (pstd 11 %)
   Rengjør ROOT-mappen ...
   
   Bruk alltid en omstart av ANDROID, og runmbes-tjenestene
   starter OMSTART AV ENSTSCRS FORDRCDRDCDDD
   PÅ nytt
   når runskytten startes
   på nytt.

Merk: Det kan ta alt fra 5–10 minutter før alle filene blir utbedret og at VxRail Manager-tjenestene starter.

Vent i minst ti minutter hvis du planlegger å utføre noen av de manuelle valideringstrinnene nedenfor.

Det finnes flere forskjellige versjoner av lib4j-core-biblioteket, avhengig av utgivelsen av VxRail Manager.

Skriptet er utformet for å utbedre VxRail Manager på riktig måte, uavhengig av hvilken versjon av lib4j-core som er inkludert i den versjonen av VxRail Manager.

Utdataene ovenfor fra kjøring av skriptet kan vise at ulike filer oppdateres, avhengig av hvilken versjon av lib4j-core som er inkludert.

Merk: Hvis du utfører en VxRail-oppgradering til en annen versjon av VxRail som ikke inneholder en løsning, må dette skriptet kjøres en gang til for å kunne bruke utbedringen på nytt.
 

 MERK: Den fullstendige løsningen for VxRail krever både vCenter Server Appliance (vCSA)-løsningen fra VMware, og utbedringen på VxRail Manager som utføres av dette skriptet for å bli implementert.

Du finner koblinger til VMware-artikler som dekker midlertidige løsninger på produkter og feilrettinger i VxRail: Informasjon om Log4Shell-miljøer (CVE-2021-44228) og VxRail.
 

Valideringstrinn

For å løse problemet fjerner skriptet JndiLookup.class-filen fra lib4j-core-* jar-filene.

En skankefil er et Java-emballasjeformat for å inkludere flere klasse-, metadata- og andre Java-programmer i én enkelt fil. Den ligner på en ZIP-fil og er basert på ZIP-formatet. Skriptkjøringen validerer at hver skankefil er oppdatert.

Hvis du vil utføre en manuell validering av at skriptet har fungert, kan du kontrollere om log4j-core-* jar-filene som finnes på VxRail Manager, fortsatt inneholder den berørte JndiLookup.class-filen . Hvis det fungerte, skal du ikke se noen utdata til kommandoene nedenfor som bekrefter at den berørte JndiLookup.class-filen ikke lenger finnes i filen med glasset.
 

Validering med automatisert kommando

Følgende kommando kan kjøres på VxRail Manager for å skanne etter alle log4j-core-xxxx.jar-filer som finnes på VxRail Manager, og kontrollere om de inneholder den berørte JndiLookup.class-filen:

vxrm:/home/mystic # for myfile i "find /-name log4j-core*jar -print |grep -v log4jbak"; do echo $myfile; unzip -l $myfile | grep JndiLookup.class; doneSample

output (oppdatert system):
/mystic/connectors/eservice/lib/log4j-core-2.13.0.jar
/mystic/connectors/cluster/lib/log4j-core-2.13.0.jar
/usr/lib/vmware-pst/watd/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jarI

eksemplet ovenfor er JndiLookup.class-filen som ikke finnes i jar, og dermed fungerte skriptet, og verifiseringen er vellykket.

Nedenfor finner du eksempler på utdata fra et berørt system som må oppdateres:/mystic/connectors/eservice/lib/log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.class
/mystic/connectors/cluster/lib/log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.class
/usr/lib/vmware-apache/apached/webapps/ROOT/WEB-INF/lib/
log4j-core-2.13.3.jar
2892 2020-05-10 12:08 org/apache/logging/log4j/core/lookup/JndiLookup.classI

eksemplet ovenfor finnes den berørte JndiLookup.class-filen i log4j-core-2.13.3.jar-filen.
 

Validering med manuell kontroll av hver fil

Hvis du raskt vil identifisere log4j-core-xxxx.jar-filer som finnes på VxRail Manager, kjør følgende kommando (dette formaterer også utdataene til en brukbar kommando):
vxrm:/home/mystic # find/ -name log4j-core*jar -print |grep -v log4jbak | awk '{print("unzip -l" $1 "|grep JndiLookup.class")}'

Eksempel på utdata:
unzip -l /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.class
unzip -l /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classunzip
-l /usr/lib/vmware-rothub/dlld/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.classFrom

eksempelutdataene ovenfor, Kjør hver kommando manuelt for å se om de oppdager den berørte JndiLookup.class-filen:
vxrm:/home/mystic # unzip -l /mystic/connectors/eservice/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/mystic #

vxrm:/home/mystic # unzip -l /mystic/connectors/cluster/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/mystic #

vxrm:/home/mystic # unzip -l //usr/lib/vmware-rothub/dlld/webapps/ROOT/WEB-INF/lib/log4j-core-2.13.0.jar|grep JndiLookup.classvxrm
:/home/mystic #

I eksemplet ovenfor finnes ikke JndiLookup.class-filen i jar, dermed fungerte skriptet, og verifiseringen er vellykket.

Merk: Filnavnene på skanken fra eksempelutdataene ovenfor kan variere avhengig av hvilken VxRail Manager-versjon du har. Bruk eksempelutdataene du mottar fra søkekommandoen ovenfor. 

Et eksempel på utdataene for en skankefil som fortsatt er berørt og inneholder den berørte JndiLookup.class-filen :

vxrm:/home/mystic # unzip -l /mystic/connectors/cluster/lib/log4j-core-2.4.1.jar |grep JndiLookup.class25
76 2015-10-08 17:50 org/apache/logging/log4j/core/lookup/JndiLookup.classI

eksemplet ovenfor finnes den berørte JndiLookup.class-filen i log4j-core-2.4.1.jar jar-filen.

 

 MERK: En annen påminnelse om at fullstendige løsninger for VxRail krever både vCenter Server Appliance -løsningen (vCSA) fra VMware, og utbedringen på VxRail Manager utført av dette skriptet for å bli implementert.