Прилад серії PowerProtect DP та IDPA: Apache Log4j CVE-2021-44228

Summary: У цій статті описано автоматизований інструмент для виправлення віддаленого виконання коду CVE-2021-44228 Apache Log4j за допомогою інструменту "LORD" (LOg4J Remediation for Dell) у пристрої та інтегрованому пристрої захисту даних серії PowerProtect DP та інтегрованому пристрої захисту даних (IDPA). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

ДСА-2021-285: Оновлення системи безпеки Dell Integrated Data Protection Appliance (серія PowerProtect DP) для вразливостей віддаленого виконання коду Apache Log4j (CVE-2021-44228).

Ударна матриця

Пристрій серії Dell PowerProtect DP Інтегрований
пристрій для захисту даних		 Версія вплинула?
Компонент v2.3.x v2.4.x v2.5 v2.6.x v2.7.0
vCenter (Менеджер гіпервізора) Так Так Так Так Так
Домен даних (захист сховища) Ні Ні Ні Ні Так
Avamar (сервер резервного копіювання/програмне забезпечення для захисту) Ні Ні Ні Ні Ні
Централізований захист даних (System Manager) Так Так Так Так Так
Пошук захисту даних (пошук) Так Так Так Так Так
Аварійне відновлення в хмарі Ні Ні Ні Ні Так
Менеджер конфігурації пристрою (ACM) Ні Ні Ні Ні Так
Радник із захисту даних (DPA/звітність та аналітика) Так Так Так Так Так

Постійне виправлення

Оновіть пристрій до PowerProtect серії DP та IDPA версії 2.7.2

Примітка: Пристрій серії PowerProtect DP та реліз IDPA 2.7.2 має бібліотеку Log4j 2.17.1 (проти 2.17 у пристрої PowerProtect серії DP та версії IDPA 2.7.1), яка має більш просунуті виправлення.

Мета

Цей обхідний шлях призначений для виправлення віддаленого виконання Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies. коду CVE-2021-44228 Apache Log4j за допомогою інструменту автоматизації «LORD»(LOg4J Remediation for Dell) для пристроїв серії PowerProtect DP та інтегрованого пристрою захисту даних (IDPA).

Дивіться це відео про виконання інструменту автоматизації "LORD":

Примітка: Приблизний час пробіжки цих кроків може становити приблизно 20 хвилин. Зверніться до служби підтримки Dell у будь-який час для отримання додаткової допомоги.
Примітка:
  • Ця стаття бази знань Dell містить кроки з обхідного виправлення для версій 2.3.x, 2.4.x, 2.5, 2.6.x і 2.7.0.
  • Не використовуйте цей артикул бази знань для будь-яких інших версій PowerProtect DP Series або IDPA.
  • Ця обхідний шлях виправляє лише CVE-2021-44228.
  • Dell Engineering випустила PowerProtect DP Series-IDPA версії 2.7.1, яка виправляє CVE-2021-44228 на всіх компонентах.
  • Якщо користувач оновлює пристрій серії PowerProtect DP до невиправленої версії, то кроки з обходу потрібно застосувати повторно.
  • Увійдіть у Dell.com/support, щоб побачити прикріплені файли та інструменти.
  • Наразі компонент Cloud DR Remediation не входить до інструменту автоматизації. Якщо розгорнуто компонент Cloud DR, зверніться до служби підтримки Dell за допомогою для вирішення проблеми.

Вплив і ризики

Цей інструмент може вимкнути http і https у домені даних у версії 2.7.0, щоб захистити цю систему від CVE-2021-44228, вимкнувши інтерфейс користувача. Дивіться нижче для отримання додаткової інформації.

Відсутній функціональний вплив на прилад. Скасовуйте зміни в ACM VM перед оновленнями PowerProtect серії DP або IDPA, щоб уникнути будь-яких наслідків для оновлень.

Вимоги до кандидатів:

  • Завантажте останню версію інструменту LORD з цієї статті (прикріплені файли).
  • Розпакуйте файл .zip.

Запуск інструменту:

Ласкаво просимо до інструменту для виправлення CVE-2021-44228.

  • Ця утиліта допоможе вам оновити CVE-2021-44228 для кількох продуктів Dell, включаючи, але не обмежуючись, IDPA, PPDM і NetWorker.
  • Особлива примітка: Інструмент автоматизує етапи виправлення всіх внутрішніх компонентів.
  • Після виправлення та перевірки також виконуються перевірки.
  • Рекомендації Apache щодо CVE-2021-45105 продовжують удосконалюватися, і новим вразливостям присвоюються нові ідентифікатори посилань CVE. У міру виявлення цих нових CVE команди інженерів Dell Technologies уточнюють наслідки та кроки відновлення, де це необхідно.
  • Коли вони доступні, цей інструмент оновлюється, щоб включити ці нові кроки.

Кроки:

  1. Скопіюйте інструмент "lord_vX" на ACM у директорію "/tmp" за допомогою програмного забезпечення для передачі файлів, наприклад WinSCP тощо

    Примітка: Символ у назві файлу "X" позначає керування версіями інструменту LORD. Наприклад, «lord_v7».

  2. Відкрийте SSH на сервері Диспетчера конфігурації пристроїв (ACM) і увійдіть до системи як користувач root.

    cd /tmp

  3. Виконайте наступну команду, щоб надати дозволи на виконання файлу:

    chmod +x /tmp/lord_vX

  4. Виконайте наступну команду, щоб запустити інструмент LORD:

    ./tmp/lord_vX

  5. Дотримуйтесь підказок.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    Приклад виводу з головного меню «Виправлення»:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

Виберіть опцію #1, щоб застосувати кроки виправлення до всіх компонентів.

Важливий: При застосуванні виправлення до Data Domain (Protection Storage) вам буде запропоновано відключити http і https (зустрічаються тільки в IDPA версії 2.7.0).
  • Якщо вибрати "Ні", відновлення домену даних наразі не виконується. Іншим варіантом є застосування мінімального руйнівного оновлення (MDU) відповідно до KB: 194425 (Для перегляду цієї статті потрібен обліковий запис служби підтримки Dell)
    Примітка: Не оновлюйте код домену даних (сховища захисту). Для пристроїв PowerProtect серії DP (IDPA) дозволено лише мінімальне оновлення з порушеннями (MDU)
  • Якщо ви хочете вимкнути інтерфейс користувача відповідно до автоматизованого робочого процесу, ви можете вибрати «Так» 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • Ви також можете вибрати, до якої IP-адреси або хосту ви хочете обмежити доступ: 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • Приклад виходу: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

Після того, як кроки з виправлення завершені, LORD надає загальний огляд статусу:

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Оновлення визначення статусу:

  • ЗАВЕРШЕНО: Цей статус означає, що відповідний компонент був вразливим і був оновлений.
  • NOT_CONFIGURED_IN_IDPA: Цей статус означає, що відповідний компонент не розгорнуто/не налаштовано.
  • ПРОПУЩЕНО/НЕ ПОТРІБНО/УСПІШНА ВЕРИФІКАЦІЯ: Цей статус означає, що відповідний компонент було пропущено, оскільки він невразливий до CVE-2021-44228, АБО CVE-2021-44228 не впливає на версію цього відповідного компонента, або відповідний компонент уже оновлено.

Вказівки щодо CVE-2021-45105

  • Перевірка під час запуску компонента System Manager пристрою PowerProtect серії DP[ DPC ] показує, що він вразливий для CVE-2021-44228, але постраждала бібліотека Log4j не згадується та не завантажується в жодній службі. Отже, це помилкове спрацьовування, і його можна безпечно ігнорувати.
  • Команди інженерів працюють над тим, щоб з'ясувати, чи впливає CVE-2021-45105 на інші компоненти IDPA.
  • Якщо так, заходи щодо виправлення ситуації публікуються відповідно до політики Dell Technologies Security Office.
  • Про CDRA див. Прилад серії PowerProtect DP та IDPA: Apache Log4j CVE-2021-44228

Підкомпоненти: Аварійне відновлення в хмарі

Примітка: Функція аварійного відновлення (CDR) у версії PowerProtect DP Series/IDPA вразлива до цих вимог CVE-2021-44228 і CVE-2021-45046.
CDR версій 19.5 і старіших (IDPA версії 2.6 і нижчих) не є вразливими, і цей розділ статті Бази знань не поширюється на клієнтів, які використовують ці версії.

Для CDRA - Локальна віртуальна машина

  1. Відкрийте SSH у віртуальну машину CDRA за допомогою користувача cdr

  2. Створіть cdra_log4jfix.sh у директорії /tmp/ з наступним вмістом:

    • Для створення сценарію cdra_log4jfix.sh виконайте наступну команду: 
      vi /tmp/cdra_log4jfix.sh
    • Натисніть клавішу I на клавіатурі, щоб увійти в режим вставки та скопіювати вміст, як наведено нижче.
    • Натисніть ESC, а потім :wq! , щоб зберегти файл. 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. Виконайте такі команди, щоб виконати сценарій виправлення:

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

Для CDRS - розгортається в хмарі (AWS/AZURE/AWS GOV/AZURE GOV)
Відкрийте запит на обслуговування в службі підтримки Dell і перегляньте цю статтю під номером 000194520, щоб застосувати виправлення до CDRS (Cloud Disaster Recovery).

Важливий: Деякі інструменти сканування безпеки під час роботи на DPC (System Manager) і компоненті CDRA пристрою PowerProtect серії DP (IDPA) показують, що він вразливий до CVE-2021-44228 навіть після виправлення, але порушена бібліотека Log4j не згадується та не завантажується в жодній службі. Отже, це помилкове спрацьовування.

Підкомпоненти: Сервер Avamar (програмне забезпечення для захисту) і розширення для захисту даних

  • Сервер Avamar (програмне забезпечення для захисту/сервер резервного копіювання) не вразливий до CVE-2021-44228 або CVE-2021-45046. Ці вразливості специфічні для класу Це гіперпосилання веде вас на веб-сайт за межами Dell Technologies.JNDI Lookup, який існує лише у jar-файлі log4j-core. Avamar Server не встановлює jar-файл jog4j-core. Оновлення до PowerProtect DP Series Appliance (IDPA) версії 2.7.1 може бути виконано, якщо клієнти все ще хочуть оновити версію log4j до 2.16. Це оновлення може запобігти помилковим спрацьовуванням сповіщень від інструментів сканування безпеки.
  • Розширення захисту даних Cloud Director (якщо його налаштовано) все ще вразливе, і кроки обхідного шляху, згадані в оновленні KB 194480 , можна застосувати до компонентів розширення захисту даних до версії 19.4.
  • Для розширення захисту даних 19.4 vCloud Director рекомендуємо застосувати поточне виправлення 19.4.0.214_HF.5, як описано в розділі «Виправлення». Подробиці виправлення можна знайти в оновленні KB 194480.

Якщо ви виконаєте кроки з обхідного шляху, описані в цьому розділі, а потім оновите розширення захисту даних до версії, що не виправляється, вам потрібно буде повторно виконати кроки обхідного шляху.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.