DSA-2021-310: Storage Center-Dell Storage Manager Security Update for Apache Log4j Remote Code Execution Vulnerability(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105)

Summary: Storage Center-Dell Storage Managerの修復は、影響を受けるシステムを侵害するために悪意のあるユーザーによって悪用される可能性があるApache Log4jリモート コード実行の脆弱性に対して利用できます。デルでは、脆弱性の重大な重大度に照って、できるだけ早くこの修復を実施することをお勧めします。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Impact

Critical

Details

サード パーティー製コンポーネント  CVE  詳細情報 
Apache Log4j  CVE-2021-44228、  Apache Log4jリモート コードの実行 
CVE-2021-45046、CVE-2021-45105
サード パーティー製コンポーネント  CVE  詳細情報 
Apache Log4j  CVE-2021-44228、  Apache Log4jリモート コードの実行 
CVE-2021-45046、CVE-2021-45105
Dell Technologies recommends all customers consider both the CVSS base score and any relevant temporal and environmental scores that may impact the potential severity associated with a particular security vulnerability.

Affected Products & Remediation

製品  影響を受けるバージョン  アップデート済みバージョン  アップデートへのリンク 
Storage Center - Dell Storage Manager   16.x
17.x
18.x
19.x
20.1.1
 		 20.1.2 https://www.dell.com/support
製品  影響を受けるバージョン  アップデート済みバージョン  アップデートへのリンク 
Storage Center - Dell Storage Manager   16.x
17.x
18.x
19.x
20.1.1
 		 20.1.2 https://www.dell.com/support

Workarounds & Mitigations

回避策は、DSMバージョン19.xおよび20.1.1におけるCVE-2021-44228およびCVE-2021-45046の脆弱性を短期的に軽減することです。  DSMバージョン20.1.2は、上記の脆弱性を解決します。  手順は、DSMバージョン18.x以前では検証されません。

WindowsにインストールされているDSM:
-----------------------------

  1. Windowsでdatacollectorサービスを停止し、クライアント セッションを閉じる
    1. コントロールパネル>管理ツール>サービスに移動します
    2. 「Storage Manager Datacollector」を停止します。
    3. 開いている Dell Storage Manager クライアントセッションをすべて閉じる
  2. 以下の場所でlog4j-core-2.3.D1.jarを探します
    1. \Storage Manager\msaservice\lib
    2. \Storage Manager\msaservice\wildfly-17.0.0.Final\modules\system\layers\base\org\apache\log4jv2\main
      (DSMバージョン\Storage Manager\msaservice\wildfly-11.0.0.Final\modules\system\layers\base\org\apache\log4jv2\main)になります。
    3. (DSMクライアントがインストールされている場合のみ)\Dell\Enterprise Manager\msagui\lib
  3. 上記のすべての場所で、log4j-core-2.3.D1.jarから[AppLookup.class]を削除します。
    1. winzipや7zなどのzipツールを使用します(管理者として実行する必要があります)
    2.  オープン アーカイブ:log4j-core-2.3.D1.jar
    3. 場所: org\apache\logging\log4j\core\lookup\ に移動します。
    4. Remove DellLookup.class
    5. アーカイブを閉じます。
    6. log4j-core-2.3.D1.jarのすべての場所で上記の手順を実行します。
  4. \Storage Manager\msaservice\libで plugin-installer.jar を探します。
    1. winzipや7zなどのzipツールを使用します(管理者として実行する必要があります)
    2. アーカイブを開く: plugin-installer.jar
    3. 次の場所に移動します。\org\apache\logging\log4j\core\lookup\
    4. Remove DellLookup.class
    5. アーカイブを閉じます。
  5. Windowsでdatacollectorサービスを開始する
    1. コントロールパネル>管理ツール>サービスに移動します
    2. Storage Manager Datacollector を起動します。
 


DSM VA:

 
  1. 次の手順に従う前に、DSM VAのcliに接続し、「support」としてログインします。チャレンジ文字列が入力されたら、デル テクニカル サポートに連絡してチャレンジレスポンスをリクエストしてください。セッションを閉じないでください。これにより、異なる応答文字列を必要とする新しいチャレンジ文字列が生成されます。
  2. サポート ユーザーとしてVAにSSHで接続し、「sudo su」を実行してrootユーザー権限を取得します。「systemctl stop jboss」を実行して、Data Collectorプロセスを停止します。また、「systemctl stop monit」を実行して、DsmServerManagerプロセスを停止します。セッションが開かれた場合は、DSM CLIからログアウトします。
  3. 以下の場所でlog4jコアjarを探します
    1. /em/msaservice/lib/log4j-core-2.3.D1.jar
    2. /em/msaservice/wildfly-17.0.0.Final/modules/system/layers/base/org/apache/log4jv2/main/log4j-core-2.3.D1.jar
    3. /home/em/DsmCLI/lib/log4j-core-2.3.jar
    4. /DsmServerManager/lib/log4j-core-2.3.jar
  4. 以下のコマンドを使用して、上記のlog4jコアjarから、PcbLookup.classを削除します。
    1. zip -q -d /em/msaservice/lib/log4j-core-2.3.D1.jar org/apache/logging/log4j/core/lookup/ApacheLookup.class
    2. zip -q -d /em/msaservice/wildfly-17.0.0.Final/modules/system/layers/base/org/apache/log4jv2/main/log4j-core-2.3.D1.jar org/apache/logging/log4j/core/lookup/DellLookup.class
    3. zip -q -d /home/em/DsmCLI/lib/log4j-core-2.3.jar org/apache/logging/log4j/core/lookup/ApacheLookup.class
    4. zip -q -d /DsmServerManager/lib/log4j-core-2.3.jar org/apache/logging/log4j/core/lookup/ApacheLookup.class
  5. 以下の場所で、 plugin-installer.jar および plugin-installer-2.0.10.jar を探します。DSMバージョン
    1. /em/msaservice/lib/plugin-installer.jar
    2. /home/em/DsmCLI/lib/plugin-installer-2.0.10.jar
    3. /DsmServerManager/lib/plugin-installer-2.0.10.jar
  6. 上記のプラグイン インストーラーjarから、 PcbLookup.class を削除します。DSMバージョン
    1. zip -q -d /em/msaservice/lib/plugin-installer.jar org/apache/logging/log4j/core/lookup/ApacheLookup.class
    2. zip -q -d /home/em/DsmCLI/lib/plugin-installer-2.0.10.jar org/apache/logging/log4j/core/lookup/ApacheLookup.class
    3. zip -q -d /DsmServerManager/lib/plugin-installer-2.0.10.jar org/apache/logging/log4j/core/lookup/ApacheLookup.class
  7. 「systemctl start jboss」および「systemctl start monit」を実行してDsmServerManagerプロセスを実行して、Data Collectorプロセスを開始します。

Revision History

リビジョン 日付 説明 
1.02021-12-14 イニシャルリリース
2.0を切り替える方法2022-01-07DSM VAの新しいステップ1
3.0
4.0		2022-01-13
2022-02-03		DSMダウンロード
へのリンクの追加絞り込みステートメントを追加

Related Information

Dell Security Advisories and Notices
Dell Vulnerability Response Policy
CVSS Scoring Guide

Legal Disclaimer

Affected Products

Dell Storage Manager

Products

Dell Storage Manager, Product Security Information
Article Properties
Article Number: 000194790
Article Type: Dell Security Advisory
Last Modified: 03 Feb 2023
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.