PowerProtect DP 系列备份一体机和 IDPA:Apache Log4j CVE-2021-44228
Summary: 本文概述了使用 PowerProtect DP 系列备份一体机和融合备份一体机 (IDPA) 中的“LORD”工具(适用于戴尔的 LOg4J 修复)修复 CVE-2021-44228 Apache Log4j 远程代码执行的自动化工具。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
DSA-2021-285:适用于 Apache Log4j 远程代码执行漏洞的戴尔融合备份一体机(PowerProtect DP 系列)安全更新 (CVE-2021-44228)。
影响矩阵
| 戴尔 PowerProtect DP 系列备份一体 机 融合备份一体机 |
版本是否受影响? | ||||
|---|---|---|---|---|---|
| 组件 | v2.3.x | v2.4.x | v2.5 | v2.6.x | v2.7.0 |
| vCenter (Hypervisor Manager) | 是的 | 是的 | 是的 | 是的 | 是的 |
| Data Domain (Protection Storage) | 否 | 否 | 否 | 否 | 是的 |
| Avamar (Backup Server/Protection Software) | 否 | 否 | 否 | 否 | 否 |
| Data Protection Central (System Manager) | 是的 | 是的 | 是的 | 是的 | 是的 |
| Data Protection Search (Search) | 是的 | 是的 | 是的 | 是的 | 是的 |
| Cloud Disaster Recovery | 否 | 否 | 否 | 否 | 是的 |
| Appliance Configuration Manager (ACM) | 否 | 否 | 否 | 否 | 是的 |
| Data Protection Advisor(DPA/报告和分析) | 是的 | 是的 | 是的 | 是的 | 是的 |
永久修复
升级到 PowerProtect DP 系列备份一体机和 IDPA 版本 2.7.2
- 戴尔支持网站上提供了 PowerProtect DP 系列备份一体机和 IDPA 版本 2.7.2。
提醒:PowerProtect DP 系列备份一体机和 IDPA 2.7.2 版本具有 Log4j 2.17.1 库(PowerProtect DP 系列备份一体机和 IDPA 版本 2.7.1 中为 2.17),其中包含更高级的修复。
目标
此解决方法是使用适用于 PowerProtect DP 系列备份一体机和融合备份一体机 (IDPA) 的“LORD”自动化工具(适用于戴尔的 LOg4J 修复)来修正 CVE-2021-44228 Apache Log4j 远程代码执行
观看有关执行“LORD”自动化工具的视频:
提醒:完成这些步骤的估计时间约为 20 分钟。请随时联系戴尔支持以获得进一步的帮助。
提醒:
- 本戴尔知识库文章包含版本 2.3.x、2.4.x、2.5、2.6.x 和 2.7.0 的解决方法修正步骤。
- 请勿将此知识库文章用于任何其他 PowerProtect DP 系列或 IDPA 版本。
- 此解决方法文章仅修正 CVE-2021-44228。
- 戴尔工程部门发布了 PowerProtect DP 系列 IDPA 版本 2.7.1,该版本在所有组件上修复了 CVE-2021-44228。
- 如果用户升级到 PowerProtect DP 系列备份一体机或 IDPA 的非修正版本,则必须重新应用解决方法步骤。
- 登录到 Dell.com/support 以查看所附的文件和工具。
- 自动化工具中 目前不包括 Cloud DR 组件修正。如果部署了云灾难恢复组件,请联系戴尔支持以获得解决方法的帮助。
影响和风险
此工具可能会在 Data Domain 版本 2.7.0 中禁用 http 和 https,以保护该系统免受 CVE-2021-44228 的影响(禁用 UI)。有关详细信息,请参见下文。
对设备的功能没有影响。在升级 PowerProtect DP 系列备份一体机或 IDPA 之前撤消 ACM 虚拟机上的更改,以避免对升级产生任何影响。
前提条件:
- 从本文(附件)下载最新版本的 LORD 工具。
- 解压 .zip 文件。
运行工具:
欢迎使用 CVE-2021-44228 修补工具。
- 此实用程序可帮助您为多个戴尔产品(包括但不限于 IDPA、PPDM 和 NetWorker)更新 CVE-2021-44228。
- 特别提醒:此工具可为所有内部组件自动执行修正步骤。
- 此外,还会运行以下修正和验证检查。
- Apache 提供的有关 CVE-2021-45105 的建议在不断更新,新漏洞会被分配新的 CVE 参考 ID。发现这些新的 CVE 后,Dell Technologies 的工程团队会在必要时明确影响和补救步骤。
- 当这些步骤可用时,此工具将更新以包括这些新步骤。
步骤:
-
使用 WinSCP 等文件传输软件将“lord_vX”工具复制到 ACM 上的“/tmp”目录中
提醒:文件名“X”中的字符表示 LORD 工具的版本控制。例如,“lord_v7”。 -
通过 SSH 连接至 Appliance Configuration Manager(ACM) 服务器,并以“root”用户身份登录。
cd /tmp
-
运行以下命令以提供可执行权限:
chmod +x /tmp/lord_vX
-
运行以下命令以运行 LORD 工具:
./tmp/lord_vX
-
按照提示进行操作。
acm5800:/tmp # ./tmp/lord_v9 sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh) 2021-12-23 20:54:22,399 [INFO] SESSION STARTED 2021-12-23 20:54:22,400 [INFO] Logging everything to : lord.log Session Start Time : 2021-12-23 20:54 ------------------------------------------------- ------------------------------------------------- PowerProtect CVE-2021-44228 Patcher 5.0 Developer : Pankaj Pande(p.pande@dell.com) Release : 21 Dec 2021 ------------------------------------------------- Welcome to CVE-2021-44228 Patching Tool. This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker. Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's. As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary. When these are available, this tool will be updated to include these new steps ------------------------------------------------- 2021-12-23 20:54:22,403 [INFO] Starting Build : 5.0 2021-12-23 20:54:22,403 [INFO] Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name Enter the ACM Password : Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :修正主菜单中的输出示例:
2021-12-23 20:54:34,972 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:54:34,972 [INFO] /// Main Menu /// 2021-12-23 20:54:34,972 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:54:34,972 [INFO] ------------------------------------------------- Select how would you like to proceed : 1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components] 2) Apply workaround for vCenter 3) Apply workaround for Data Domain 4) Apply workaround for Avamar 5) Apply workaround for DPSearch 6) Apply workaround for ACM 7) Apply workaround for DPC 9) Exit the Program Enter your choice number :
选择选项 #1 以在所有组件上应用修正步骤。
重要提示:将修复应用于 Data Domain (Protection Storage) 时,系统会提示您禁用 http 和 https(仅在 IDPA 版本 2.7.0 中可找到)。
- 选择“No”会暂时跳过 Data Domain 修复。另一个选项是根据以下知识库文章应用最小中断升级 (MDU):194425 (需要戴尔支持帐户才能查看本文)
提醒:请勿执行 Data Domain (Protection Storage) 代码升级。PowerProtect DP 系列备份一体机 (IDPA) 仅允许最低中断升级 (MDU)
- 如果想要禁用 UI,根据自动化工作流,您可以选择“Yes”
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
- 您还可以选择要限制访问权限的 IP 地址或主机:
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y Would you like to disable the UI completely? Enter 'y' or 'n':n 2021-12-23 21:15:48,365 [INFO] Disabling GUI http and https access - User based Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
- 输出示例:
2021-12-23 20:58:56,722 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:58:56,722 [INFO] // Performing Data Domain Patching // 2021-12-23 20:58:56,722 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:58:56,722 [INFO] ------------------------------------------------------ 2021-12-23 20:58:56,722 [INFO] Working on Data Domain Host : 10.60.9.51 for patching 2021-12-23 20:58:56,722 [INFO] ------------------------------------------------------ 2021-12-23 20:58:57,266 [INFO] Found DD version as : 7.6.0.20-689174 2021-12-23 20:58:57,266 [INFO] This version of Data Domain patching involves disabling the UI. Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y Would you like to disable the UI completely? Enter 'y' or 'n':y 2021-12-23 21:02:04,087 [INFO] Disabling GUI http and https access - Completely 2021-12-23 21:02:05,919 [INFO] HTTP Access: disabled 2021-12-23 21:02:05,920 [INFO] GUI http access has been disabled 2021-12-23 21:02:08,507 [INFO] HTTPS Access: disabled 2021-12-23 21:02:08,507 [INFO] GUI https access has been disabled 2021-12-23 21:02:08,509 [INFO] Data Domain patching completed
完成修正步骤后,LORD 会提供总体状态概览:
2021-12-23 21:03:23,782 [INFO] /////////////////////////////////////////////////////// 2021-12-23 21:03:23,782 [INFO] // OVERALL STATUS // 2021-12-23 21:03:23,782 [INFO] /////////////////////////////////////////////////////// 2021-12-23 21:03:23,782 [INFO] OVERALL STATUS +---------------------+-------------------------------------------+ | Product | Patching Status | +---------------------+-------------------------------------------+ | Data Domain | COMPLETED | | ACM | COMPLETED | | DPSearch_X.X.X.X | COMPLETED | | DPCentral | COMPLETED | | DPA | NOT_CONFIGURED_IN_IDPA | | Avamar | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS | | vCenter | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS | +---------------------+-------------------------------------------+
更新状态定义:
- 完成:此状态表示相关组件易受攻击并已更新。
- NOT_CONFIGURED_IN_IDPA:此状态表示未部署/配置相关组件。
- SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS:此状态表示已跳过相关组件,因为它不易受到 CVE-2021-44228 的攻击,或者 CVE-2021-44228 不会影响该相关组件的版本,或者相关组件已经更新。
关于 CVE-2021-45105 的指导
- 在 PowerProtect DP 系列备份一体机 [ DPC ] 的 System Manager 组件上运行的验证表明它容易受到 CVE-2021-44228 的影响,但受影响的 Log4j 库未在任何服务中提及或加载。因此这是误报,可以放心地忽略。
- 工程团队正在努力确认 IDPA 中的其他组件是否受到 CVE-2021-45105 的影响。
- 如果是,则会根据 Dell Technologies 安全办公室政策发布修正步骤。
- 对于 CDRA,请参阅知识库文章:PowerProtect DP 系列备份一体机和 IDPA:Apache Log4j CVE-2021-44228
子组件:Cloud Disaster Recovery
提醒:PowerProtect DP 系列备份一体机/IDPA 版本 2.7.0 中的 Cloud Disaster Recovery (CDR) 容易受到此 CVE-2021-44228 和 CVE-2021-45046 的影响。
CDR 版本 19.5 及更低版本(IDPA 版本 2.6 及更低版本)不易受影响,此知识库文章部分不适用于使用这些版本的客户。
CDR 版本 19.5 及更低版本(IDPA 版本 2.6 及更低版本)不易受影响,此知识库文章部分不适用于使用这些版本的客户。
对于 CDRA — 本地虚拟机
-
使用 cdr 用户通过 SSH 连接到 CDRA 虚拟机
-
使用以下内容在 /tmp/ 目录中创建cdra_log4jfix.sh:
- 运行以下命令以创建 cdra_log4jfix.sh 脚本:
vi /tmp/cdra_log4jfix.sh
- 按键盘上的 I 键进入插入模式并复制下面提供的内容。
- 按 ESC 键,然后按 :wq!以保存文件。
#! /bin/sh cdr_backup() { mkdir -p /tmp/cdr_backup cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak } update_executable() { echo "Updating CDRA executable." sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable } update_restore_vm() { echo "Updating restore_vm.jar." cd /home/cdr/cdra/resources/restore zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class } update_cdra_main() { echo "Updating cdra_main.jar." LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar echo "Stopping CDR service." sudo service cdra stop cd /home/cdr/cdra/lib/ mkdir -p BOOT-INF/lib unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION rm -rf BOOT-INF echo "Starting CDR service. This may take a few minutes." sudo service cdra start for i in {1..10} do sleep 30 echo "Checking CDR service status..." RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json") if [[ "$RESP_CODE" == 200 ]]; then echo "CDR service started successfully." return 0 fi done echo "Failed to run CDR service. Please contact Dell Support." exit 1 } main() { CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k) echo "CDR version is : $CDR_VER" if [[ $CDR_VER =~ 19\.[6-9] ]]; then cdr_backup update_executable update_restore_vm update_cdra_main else echo "log4j workaround is required only for CDR versions between 19.6 and 19.9." exit 0 fi rm -rf /tmp/cdr_backup } main
- 运行以下命令以创建 cdra_log4jfix.sh 脚本:
-
运行以下命令以执行修正脚本:
dos2unix /tmp/cdra_log4jfix.sh
chmod +x /tmp/cdra_log4jfix.sh
sudo /tmp/cdra_log4jfix.sh
对于 CDRS — 部署在云端 (AWS/AZURE/AWS GOV/AZURE GOV)
向戴尔支持部门提出服务请求,并参阅此文章编号 000194520,以将修复应用于 CDRS(云灾难恢复)。
重要提示:在 PowerProtect DP 系列备份一体机 (IDPA) 的 DPC (System Manager) 和 CDRA 组件上运行的某些安全扫描工具显示,即使在进行修正后,仍然容易受到 CVE-2021-44228 的影响,但受影响的 Log4j 库未在任何服务中提及或加载。因此,这是误报。
子组件:Avamar Server (Protection Software) 和 Data Protection Extension
- Avamar Server (Protection Software/Backup Server) 不易受 CVE-2021-44228 或 CVE-2021-45046 的影响。这些漏洞特定于 JNDI Lookup 类,该类
- Cloud Director Data Protection Extension(如果已配置)仍然易受攻击, KB 194480 中提到的解决方法步骤可以应用于版本 19.4 之前的 Data Protection Extension 组件。
- 对于 19.4 vCloud Director Data Protection Extension,我们建议应用 19.4.0.214_HF.5 热修复程序,如“修正”部分中所述。可以在 知识库文章 194480 上找到修补程序详细信息。
如果您实施了本节中所述的解决方法步骤,然后将 Data Protection Extension 升级到非修正版本,则必须重新实施解决方法步骤。
Affected Products
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version: 40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.