PowerProtect DP Series Appliance e IDPA: Apache Log4j CVE-2021-44228

Summary: Questo articolo descrive lo strumento automatizzato per correggere l'esecuzione di codice remoto CVE-2021-44228 Apache Log4j utilizzando lo strumento "LORD" (LOg4J Remediation for Dell) in PowerProtect DP Series Appliance e Integrated Data Protection Appliance (IDPA). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

DSA-2021-285: Aggiornamento della sicurezza di Dell Integrated Data Protection Appliance (PowerProtect serie DP) per la vulnerabilità esecuzione di codice remoto in Apache Log4j (CVE-2021-44228).

Matrice di impatto

Appliance Dell PowerProtect serie DP Integrated Data Protection Appliance
 Versione interessata?
Componente v2.3.x v2.4.x v2.5 v2.6.x v2.7.0
vCenter (Hypervisor Manager)
Data Domain (Protection Storage) No No No No
Avamar (Backup Server/Protection Software) No No No No No
Data Protection Central (System Manager)
Data Protection Search (Search)
Cloud Disaster Recovery No No No No
Appliance Configuration Manager (ACM) No No No No
Data Protection Advisor (DPA/reporting e analisi)

Correzione permanente

Eseguire l'aggiornamento a PowerProtect DP Series Appliance e IDPA versione 2.7.2

Nota: La versione 2.7.2 di PowerProtect DP Series Appliance e IDPA include la libreria Log4j 2.17.1 (rispetto alla 2.17 di PowerProtect DP Series Appliance e IDPA versione 2.7.1) con correzioni più avanzate.

Obiettivo

Questa soluzione alternativa consiste nel correggere l'esecuzione Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies. di codice remoto CVE-2021-44228 Apache Log4j utilizzando lo strumento di automazione "LORD"(LOg4J Remediation for Dell) per PowerProtect DP Series Appliance e Integrated Data Protection Appliance (IDPA).

Guarda questo video sull'esecuzione dello strumento di automazione "LORD":

Nota: Il tempo stimato per l'esecuzione di questi passaggi può essere di circa 20 minuti. Contatta il supporto Dell in qualsiasi momento per ulteriore assistenza.
Nota:
  • Questo articolo della Knowledge Base di Dell contiene le procedure di correzione per le versioni 2.3.x, 2.4.x, 2.5, 2.6.x e 2.7.0.
  • Non utilizzare questo articolo della Knowledge Base per altre versioni di PowerProtect DP Series o IDPA.
  • Questo articolo con soluzione alternativa risolve solo CVE-2021-44228.
  • Dell Engineering ha rilasciato PowerProtect DP Series-IDPA versione 2.7.1 che corregge CVE-2021-44228 su tutti i componenti.
  • Se un utente esegue l'aggiornamento a una versione non corretta di PowerProtect DP Series Appliance o IDPA, è necessario riapplicare la procedura alternativa.
  • Accedere a Dell.com/support per visualizzare i file e gli strumenti allegati.
  • Componente Cloud DR Al momento la correzione non è disponibile nello strumento di automazione. Se viene implementato un componente Cloud DR, contattare il supporto Dell per assistenza per la risoluzione.

Impatto e rischi

Questo strumento può disabilitare http e https su Data Domain nella versione 2.7.0 per proteggere il sistema da CVE-2021-44228, disabilitando l'interfaccia utente. Per ulteriori informazioni, vedere di seguito.

Non vi è alcun impatto funzionale sull'appliance. Annullare le modifiche sulla VM ACM prima degli aggiornamenti di PowerProtect DP Series Appliance o IDPA per evitare qualsiasi impatto sugli aggiornamenti.

Prerequisiti:

  • Scaricare la versione più recente dello strumento LORD da questo articolo (file allegati).
  • Estrarre il file .zip.

Esecuzione dello strumento:

Benvenuti in CVE-2021-44228 Patching Tool.

  • Questa utilità rende possibile l'aggiornamento di CVE-2021-44228 per diversi prodotti Dell, tra cui, ad esempio, IDPA, PPDM e NetWorker.
  • Nota speciale: lo strumento automatizza la procedura di correzione per tutti i componenti interni.
  • Vengono eseguiti anche i seguenti controlli di correzione e convalida.
  • I consigli di Apache in merito a CVE-2021-45105 continuano a evolversi, con nuove vulnerabilità a cui vengono assegnati nuovi ID di riferimento CVE. Man mano che vengono individuati questi nuovi CVE, i team di progettazione di Dell Technologies chiariscono l'impatto e le fasi di correzione, laddove necessario.
  • Quando sono disponibili, lo strumento viene aggiornato per includere questi nuovi passaggi.

Procedura:

  1. Copiare lo strumento "lord_vX" in ACM nella directory "/tmp" utilizzando un software di trasferimento file come WinSCP e così via

    Nota: Un carattere nel nome del file "X" indica il controllo delle versioni dello strumento LORD. Ad esempio, "lord_v7".

  2. Accedere tramite SSH al server Appliance Configuration Manager (ACM) come utente 'root'.

    cd /tmp

  3. Eseguire il comando seguente per fornire le autorizzazioni eseguibili:

    chmod +x /tmp/lord_vX

  4. Eseguire il seguente comando per eseguire lo strumento LORD:

    ./tmp/lord_vX

  5. Seguire i prompt.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    Esempio di output del menu principale di correzione:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

Selezionare l'opzione #1 per applicare i passaggi di correzione a tutti i componenti.

Importante: Quando si applica la correzione a Data Domain (Protection Storage), viene richiesto di disabilitare http e https (disponibili solo in IDPA versione 2.7.0).
  • Se si seleziona "No", la correzione di Data Domain viene ignorata per il momento. Un'altra opzione consiste nell'applicare il Minimum Disruptive Upgrade (MDU) come indicato nella KB: 194425 (per visualizzare questo articolo è necessario un account del supporto Dell)
    Nota: non eseguire l'aggiornamento del codice di Data Domain (Protection Storage). È consentito solo un aggiornamento MDU (Minimum Disruptive Upgrade) per PowerProtect DP Series Appliance (IDPA)
  • Se si desidera disabilitare l'interfaccia utente, come indicato nel flusso di lavoro automatizzato, è possibile selezionare "Yes" 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • È inoltre possibile selezionare l'indirizzo IP o l'host a cui si desidera limitare l'accesso: 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • Output di esempio: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

Una volta eseguita la procedura di correzione, LORD fornisce un'analisi dello stato generale:

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Aggiornamento della definizione dello stato:

  • FINITO: Questo stato indica che il componente pertinente era vulnerabile ed è stato aggiornato.
  • NOT_CONFIGURED_IN_IDPA: questo stato indica che il componente pertinente non è implementato/configurato.
  • SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS: Questo stato indica che il componente pertinente è stato ignorato in quanto non vulnerabile a CVE-2021-44228 OPPURE CVE-2021-44228 non influisce sulla versione di tale componente pertinente o il componente pertinente è già stato aggiornato.

Indicazioni su CVE-2021-45105

  • La verifica quando viene eseguita sul componente System Manager di PowerProtect DP Series Appliance[DPC] mostra che è vulnerabile per CVE-2021-44228, ma la libreria Log4j interessata non è menzionata o caricata in alcun servizio. Di conseguenza, si tratta di un falso positivo che può essere tranquillamente ignorato.
  • I team del reparto Engineering stanno lavorando per verificare se altri componenti di IDPA sono interessati da CVE-2021-45105.
  • In tal caso, i passaggi di correzione vengono rilasciati in linea con la policy del Security Office di Dell Technologies.
  • Per CDRA, consultare l'articolo della KB: PowerProtect DP Series Appliance e IDPA: Apache Log4j CVE-2021-44228

Sottocomponente: Cloud Disaster Recovery

Nota: Cloud Disaster Recovery (CDR) all'interno di PowerProtect DP Series Appliance/IDPA versione 2.7.0 è vulnerabile a CVE-2021-44228 e CVE-2021-45046.
Le versioni CDR 19.5 e precedenti (IDPA versioni 2.6 e precedenti) non sono vulnerabili e questa sezione dell'articolo della Knowledge Base non si applica ai clienti di tali versioni.

Per CDRA - Macchina virtuale on-premise

  1. Aprire SSH sulla VM CDRA utilizzando l'utente cdr

  2. Creare cdra_log4jfix.sh nella directory /tmp/ con il seguente contenuto:

    • Eseguire il comando seguente per creare lo script cdra_log4jfix.sh: 
      vi /tmp/cdra_log4jfix.sh
    • Premere il tasto I sulla tastiera per accedere alla modalità di inserimento e copiare i contenuti come indicato di seguito.
    • Premere ESC, quindi :wq! per salvare il file. 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. Eseguire i seguenti comandi per eseguire lo script di correzione:

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

Per CDRS: implementato su cloud (AWS/AZURE/AWS GOV/AZURE GOV)
Aprire una Service Request con il Supporto Dell e consultare questo articolo numero 000194520 per applicare la correzione a CDRS (Cloud Disaster Recovery).

Importante: alcuni strumenti di scansione della sicurezza eseguiti su DPC (System Manager) e sul componente CDRA di PowerProtect DP Series Appliance (IDPA) indicano che è vulnerabile a CVE-2021-44228 anche dopo la correzione, ma la libreria Log4j interessata non è menzionata o caricata in alcun servizio. Si tratta quindi di un falso positivo.

Sottocomponente: Avamar Server (Protection Software) e Data Protection Extension

  • Avamar Server (Protection Software/Backup Server) non è vulnerabile a CVE-2021-44228 o CVE-2021-45046. Queste vulnerabilità sono specifiche della classe Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.JNDI Lookup, che esiste solo nel file jar log4j-core. Avamar Server non installa il file JAR jog4j-core. L'aggiornamento a PowerProtect DP Series Appliance (IDPA) versione 2.7.1 può essere eseguito se i clienti desiderano comunque aggiornare la versione di log4j alla 2.16. Questo aggiornamento può impedire notifiche di falsi positivi da parte di strumenti di scansione della sicurezza.
  • Cloud Director Data Protection Extension (se configurata) è ancora vulnerabile e la procedura alternativa menzionata nell'articolo 194480 della KB può essere applicata ai componenti di Data Protection Extension precedenti alla versione 19.4.
  • Per vCloud Director Data Protection Extension 19.4, si consiglia di applicare l'hotfix 19.4.0.214_HF.5 come descritto nella sezione relativa alla correzione. I dettagli sulla patch sono disponibili nell'articolo KB 194480.

Se si implementano i passaggi della soluzione alternativa descritta in questa sezione e quindi si aggiorna Data Protection Extension a una versione non corretta, è necessario implementare nuovamente i passaggi della soluzione alternativa.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.