PowerProtect DPシリーズ アプライアンスおよびIDPA:Apache Log4j CVE-2021-44228

Summary: この記事では、PowerProtect DPシリーズ アプライアンスおよびIntegrated Data Protection Appliance (IDPA)の「LORD」ツール(LOg4J Remediation for Dell)を使用してCVE-2021-44228 Apache Log4jリモート コード実行を修復する自動化ツールの概要について説明します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

DSA-2021-285: Apache Log4jリモート コード実行の脆弱性に関するDell Integrated Data Protection Appliance(PowerProtect DPシリーズ)セキュリティ アップデート(CVE-2021-44228)。

影響マトリックス

Dell PowerProtect DPシリーズ アプライアンス
Integrated Data Protection Appliance		 バージョンへの影響
コンポーネント v2.3.x v2.4.x v2.5 v2.6.x v2.7.0
vCenter(ハイパーバイザー マネージャー) Yes Yes Yes Yes Yes
Data Domain(保護ストレージ) No No No No Yes
Avamar(バックアップ サーバー/保護ソフトウェア) No No No No No
Data Protection Central (System Manager) Yes Yes Yes Yes Yes
Data Protection Search(検索) Yes Yes Yes Yes Yes
クラウド ディザスター リカバリー No No No No Yes
Appliance Configuration Manager (ACM) No No No No Yes
Data Protection Advisor(DPA/レポート作成と分析) Yes Yes Yes Yes Yes

恒久対策

PowerProtect DPシリーズ アプライアンスおよびIDPAバージョン2.7.2へのアップグレード

  • PowerProtect DPシリーズ アプライアンスおよびIDPAバージョン2.7.2リリースは、 Dellサポート サイトで入手できます。
注:PowerProtect DPシリーズ アプライアンスおよびIDPA 2.7.2リリースには、より高度な修正を含むLog4j 2.17.1ライブラリー(PowerProtect DPシリーズ アプライアンスおよびIDPAバージョン2.7.1では2.17)があります。

目標

この回避策は、PowerProtect DPシリーズ アプライアンスおよびIntegrated Data Protection Appliance (IDPA)用の「LORD」オートメーション ツール(LOg4J Remediation for Dell)を使用してこのハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。CVE-2021-44228 Apache Log4jリモート コード実行を修復することです。

「LORD」オートメーション ツールの実行については、次のビデオをご覧ください。

注:これらの手順を実行するのにかかる推定所要時間は約20分です。さらにサポートが必要な場合は、いつでもDellサポートにお問い合わせください。
注:
  • このDellナレッジベース記事では、バージョン2.3.x、2.4.x、2.5、2.6.x、2.7.0の回避修復手順について説明します。
  • このKB記事は、他のPowerProtect DPシリーズまたはIDPAバージョンには使用しないでください。
  • この記事の回避策では、CVE-2021-44228のみを修復します。
  • Dellエンジニアリングは、すべてのコンポーネントでCVE-2021-44228を修正するPowerProtect DPシリーズ - IDPAバージョン2.7.1をリリースしました。
  • ユーザーが修復されていないバージョンのPowerProtect DPシリーズ アプライアンスまたはIDPAにアップグレードする場合は、回避策の手順を再適用する必要があります。
  • 添付ファイルとツールを確認するには、Dell.com/supportにログインします。
  • 現時点では、Cloud DRコンポーネントの修復はオートメーション ツールに 含まれていません 。Cloud DRコンポーネントが導入されている場合は、Dellサポートに問い合わせて解決してください。

影響とリスク

このツールでは、バージョン2.7.0のData Domainでhttpとhttpsを無効にして、UIを無効にすることで、CVE-2021-44228からシステムを保護することができます。詳細については、以下を参照してください。

アプライアンスへの機能的な影響はありません。アップグレードへの影響を回避するため、PowerProtect DPシリーズ アプライアンスまたはIDPAをアップグレードする前に、ACM VMで変更を元に戻します。

前提条件:

  • この記事(添付ファイル)から、最新バージョンのLORDツールをダウンロードします。
  • .zipファイルを抽出します。

ツールの実行:

CVE-2021-44228パッチ ツールへようこそ。

  • このユーティリティーは、IDPA、PPDM、NetWorkerなど(これらに限定されません)の複数のDell製品のCVE-2021-44228のアップデートに役立ちます。
  • 特記:このツールは、すべての内部コンポーネントに対する修復手順を自動化します。
  • また、修復と検証後にチェックも実行されます。
  • CVE-2021-45105に関するApacheからのアドバイスは変化し続けており、新しい脆弱性には新しいCVE参照IDが割り当てられています。これらの新しいCVEが検出されると、デル・テクノロジーズのエンジニアリング チームは、必要に応じて影響と修復手順を明確にします。
  • これらが使用可能になると、このツールは更新され、これらの新しい手順が含まれます。

手順:

  1. WinSCPなどのファイル転送ソフトウェアを使用して、「lord_vX」ツールをACMの「/tmp」ディレクトリーにコピーします。

    注:ファイル名「X」の文字は、LORDツールのバージョンを示します。たとえば、「lord_v7」です。

  2. Appliance Configuration Manager (ACM)サーバーにSSH接続し、「root」ユーザーとしてログインします。

    cd /tmp

  3. 次のコマンドを実行して、実行権限を付与します。

    chmod +x /tmp/lord_vX

  4. 次のコマンドを実行して、LORDツールを実行します。

    ./tmp/lord_vX

  5. プロンプトに従います。

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    修復メイン メニューからの出力例:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

オプション#1を選択して、すべてのコンポーネントに修復手順を適用します。

重要:Data Domain(保護ストレージ)に修正を適用する場合は、httpとhttpsを無効にするように求められます(IDPAバージョン2.7.0でのみ見つかります)。
  • [No]を選択すると、Data Domainの修復はスキップされます。もう1つのオプションは、次のKBに従ってMinimum Disruptive Upgrade (MDU)を適用することです。194425 (この記事を表示するにはDellサポート アカウントが必要です)
    注:Data Domain(保護ストレージ)コードのアップグレードを実行しないでください。PowerProtect DPシリーズ アプライアンス(IDPA)では、Minimum Disruptive Upgrade (MDU)のみが許可されます。
  • 自動化されたワークフローに従ってUIを無効にする場合は、[Yes]を選択します。 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • また、アクセスを制限するIPアドレスまたはホストを選択することもできます。 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • 出力例: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

修復手順が完了すると、LORDは全体のステータス レビューを提供します。

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

ステータス定義をアップデートしています。

  • 完了:このステータスは、関連するコンポーネントが脆弱であり、アップデートされたことを示します。
  • [NOT_CONFIGURED_IN_IDPA]:このステータスは、関連するコンポーネントが導入/構成されていないことを示します。
  • [SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS]:このステータスは、関連するコンポーネントがCVE-2021-44228に対して脆弱でないためスキップされたか、CVE-2021-44228がその関連コンポーネントのバージョンに影響を与えないか、関連するコンポーネントがすでにアップデートされていることを示します。

CVE-2021-45105に関するガイダンス

  • PowerProtect DPシリーズ アプライアンス(DPC)のSystem Managerコンポーネントで検証を実行すると、CVE-2021-44228に対して脆弱であることが示されますが、影響を受けるLog4jライブラリーはどのサービスにも記載またはロードされていません。したがって、これは誤検出であり、無視してもおそらく問題はありません。
  • エンジニアリング チームでは、IDPA内の他のコンポーネントがCVE-2021-45105の影響を受けるかどうかを確認中です。
  • その場合は、Dell Technologies Security Officeポリシーに従って修復手順がリリースされます。
  • CDRAについては、KB: PowerProtect DPシリーズ アプライアンスおよびIDPA:Apache Log4j CVE-2021-44228

サブコンポーネント:クラウド ディザスター リカバリー

注:PowerProtect DPシリーズ アプライアンス/IDPAバージョン2.7.0内のCloud Disaster Recovery (CDR)は、このCVE-2021-44228およびCVE-2021-45046に対して脆弱です
CDRバージョン19.5以前(IDPAバージョン2.6以下)には脆弱性はありません。このナレッジベース記事のセクションは、これらのバージョンのお客様には適用されません。

CDRAの場合:オンプレミスの仮想マシン

  1. cdrユーザーを使用してCDRA VMにSSH接続します

  2. 次の内容で/tmp/ディレクトリーにcdra_log4jfix.shを作成します。

    • 次のコマンドを実行して、cdra_log4jfix.shスクリプトを作成します。 
      vi /tmp/cdra_log4jfix.sh
    • キーボードの I キーを押して挿入モードに入り、以下の内容をコピーします。
    • ESCを押してから:wq!をクリックしてファイルを保存します。 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. 次のコマンドを実行して、修復スクリプトを実行します。

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

CDRSの場合:クラウド(AWS/AZURE/AWS GOV/AZURE GOV)に導入
Dellサポートでサービス リクエストを開き、この記事000194520番号を参照して、CDRS(Cloud Disaster Recovery)に修正を適用します。

重要:PowerProtect DPシリーズ アプライアンス(IDPA)のDPC (System Manager)およびCDRAコンポーネントで一部のセキュリティ スキャン ツールを実行すると、修復後でもCVE-2021-44228に対して脆弱であると表示されます。ただし、影響を受けるLog4jライブラリーはどのサービスにも記載またはロードされていません。したがって、これは誤検知です。

サブコンポーネント:Avamar Server(保護ソフトウェア)とData Protection拡張機能

  • Avamar Server(保護ソフトウェア/バックアップ サーバー)には、CVE-2021-44228またはCVE-2021-45046に対する脆弱性はありません。これらの脆弱性はこのハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。log4j-core jarファイルにのみ存在するJNDI Lookupクラスに固有です。Avamar Serverは、log4j-core jarファイルをインストールしません。お客様がlog4jのバージョンを2.16にアップデートしたい場合は、PowerProtect DPシリーズ アプライアンス(IDPA)バージョン2.7.1へのアップグレードを実行できます。このアップデートにより、セキュリティ スキャン ツールによる誤検出通知が回避できる場合があります。
  • Cloud Director Data Protection拡張機能(構成されている場合)には依然として脆弱性があり、 KB 194480 に記載されている回避策の手順をバージョン19.4より前のData Protection Extensionコンポーネントに適用できます。
  • 19.4 vCloud Director Data Protection拡張機能の場合は、「修復」セクションの説明に従って、19.4.0.214_HF.5ホットフィックスを適用することをお勧めします。パッチの詳細については、 KB 194480を参照してください。

このセクションで説明されている回避策の手順を実装してから、Data Protection拡張機能を修復されていないバージョンにアップグレードする場合は、回避策の手順を再実装する必要があります。

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.