Equipamento PowerProtect série DP e IDPA: Apache Log4j CVE-2021-44228

Summary: Este artigo descreve a ferramenta automatizada para corrigir a execução remota de código CVE-2021-44228 do Apache Log4j usando a ferramenta "LORD" (correção LOg4J para Dell) no equipamento PowerProtect série DP e no Integrated Data Protection Appliance (IDPA). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

DSA-2021-285: Atualização de segurança do Dell Integrated Data Protection Appliance (PowerProtect série DP) para vulnerabilidade de execução remota de código Apache Log4j (CVE-2021-44228).

Matriz de impacto

Equipamento
Dell PowerProtect série DP Integrated Data Protection Appliance		 Versão afetada?
Componente v2.3.x v2.4.x v2.5 v2.6.x v2.7.0
vCenter (Hypervisor Manager) Sim Sim Sim Sim Sim
Data Domain (armazenamento de proteção) Não Não Não Não Sim
Avamar (servidor de backup/software de proteção) Não Não Não Não Não
Data Protection Central (System Manager) Sim Sim Sim Sim Sim
Data Protection Search (Search) Sim Sim Sim Sim Sim
Cloud Disaster Recovery Não Não Não Não Sim
Appliance Configuration Manager (ACM) Não Não Não Não Sim
Data Protection Advisor (DPA/geração de relatórios e lógica analítica) Sim Sim Sim Sim Sim

Correção permanente

Faça upgrade para o equipamento PowerProtect série DP e para o IDPA versão 2.7.2

  • O equipamento PowerProtect série DP e a versão 2.7.2 do IDPA estão disponíveis no site do Suporte Dell.
Nota: O equipamento PowerProtect série DP e a versão IDPA 2.7.2 têm a biblioteca Log4j 2.17.1 (em comparação com a 2.17 do equipamento PowerProtect série DP e o IDPA versão 2.7.1), que tem correções mais avançadas.

Objetivo

Esta solução temporária consiste em corrigir a execução Esse hiperlink direcionará você para um site fora da Dell Technologies. remota de código CVE-2021-44228 do Apache Log4j usando a ferramenta de automação "LORD"(LOg4J Remediation for Dell) para o equipamento PowerProtect série DP e o Integrated Data Protection Appliance (IDPA).

Assista a este vídeo sobre a execução da ferramenta de automação "LORD":

Nota: O tempo estimado para executar essas etapas pode ser de aproximadamente 20 minutos. Entre em contato com o Suporte Dell a qualquer momento para obter mais assistência.
Nota:
  • Este artigo da base de conhecimento Dell contém etapas temporárias de correção para as versões 2.3.x, 2.4.x, 2.5, 2.6.x e 2.7.0.
  • Não use este artigo da KB em nenhuma outra versão do PowerProtect série DP ou do IDPA.
  • Este artigo de solução temporária corrige apenas o CVE-2021-44228.
  • A engenharia da Dell lançou o PowerProtect DP Series-IDPA versão 2.7.1 que corrige o CVE-2021-44228 em todos os componentes.
  • Se um usuário fizer upgrade para uma versão não remediada do equipamento PowerProtect série DP ou IDPA, as etapas de solução temporária deverão ser reaplicadas.
  • Faça login em Dell.com/support para ver os arquivos e as ferramentas anexados.
  • A correção de componentes do Cloud DR não está na ferramenta de automação no momento. Se um componente do Cloud DR for implementado, entre em contato com o Suporte Dell para obter assistência para resolver.

Impacto e riscos

Na versão 2.7.0, essa ferramenta pode desativar http e https no Data Domain para proteger o sistema contra o CVE-2021-44228, desativando a IU. Veja abaixo para obter mais informações.

Não há impacto funcional no equipamento. Desfaça as alterações na VM do ACM antes dos upgrades do equipamento PowerProtect série DP ou do IDPA para evitar qualquer impacto nos upgrades.

Pré-requisitos:

  • Faça download da versão mais recente da ferramenta LORD contida neste artigo (arquivos anexados).
  • Extraia o arquivo .zip.

Executando a ferramenta:

Boas vindas à ferramenta de aplicação de patches do CVE-2021-44228.

  • Este utilitário ajuda você a atualizar o CVE-2021-44228 para vários produtos Dell, inclusive, entre outros, IDPA, PPDM e NetWorker.
  • Nota especial: A ferramenta automatiza as etapas de correção para todos os componentes internos.
  • As seguintes verificações de correção e validação também são executadas.
  • Os conselhos da Apache sobre o CVE-2021-45105 continuam a evoluir conforme novos IDs de referência de CVE são atribuídos a novas vulnerabilidades. À medida que essas novas CVEs são descobertas, as equipes de engenharia da Dell Technologies esclarecem as etapas de impacto e correção quando necessário.
  • Quando estiverem disponíveis, essa ferramenta será atualizada para incluir essas novas etapas.

Etapas:

  1. Copie a ferramenta "lord_vX" no ACM para o diretório "/tmp" usando um software de transferência de arquivos como o WinSCP etc.

    Nota: Um caractere no nome do arquivo "X" denota o controle de versão da ferramenta LORD. Por exemplo, "lord_v7".

  2. Abra o SSH para o servidor Appliance Configuration Manager (ACM) e faça login como usuário "root".

    cd /tmp

  3. Insira o seguinte comando para fornecer permissões de execução:

    chmod +x /tmp/lord_vX

  4. Execute o seguinte comando para executar a ferramenta LORD:

    ./tmp/lord_vX

  5. Siga os prompts.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    Exemplo de resultado do menu principal da correção:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

Selecione a Opção #1 para aplicar as etapas de correção em todos os componentes.

Importante: Ao aplicar a correção ao Data Domain (armazenamento de proteção), você será solicitado a desabilitar http e https (encontrados somente no IDPA versão 2.7.0).
  • Por enquanto, a seleção de "No" ignora a correção do Data Domain. Outra opção é aplicar o Upgrade disruptivo mínimo (MDU) de acordo com a KB: 194425 (uma conta de Suporte Dell é necessária para visualizar este artigo)
    Nota: Não realize o upgrade de código do Data Domain (armazenamento de proteção). Somente o Upgrade Mínimo Disruptivo (MDU) é permitido para o equipamento PowerProtect série DP ou Integrated Data Protection Appliance (IDPA)
  • Se você quiser desativar a IU de acordo com o fluxo de trabalho automatizado, selecione "Yes" 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • Você também pode optar por selecionar a qual endereço IP ou host deseja limitar o acesso: 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • Exemplo de resultado: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

Depois que as etapas de correção forem concluídas, a ferramenta LORD fornecerá uma análise geral do status:

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Atualizando a definição de status:

  • CONCLUÍDO: Esse status indica que o componente relevante estava vulnerável e foi atualizado.
  • NOT_CONFIGURED_IN_IDPA: Esse status indica que o componente relevante não está implementado/configurado.
  • SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS: Esse status indica que o componente relevante foi ignorado, pois não é vulnerável ao CVE-2021-44228 OU o CVE-2021-44228 não afeta a versão desse componente relevante ou o componente relevante já foi atualizado.

Orientações sobre o CVE-2021-45105

  • A verificação quando executada no componente System Manager do equipamento PowerProtect série DP[ DPC ] mostra que ele está vulnerável à CVE-2021-44228, mas a biblioteca Log4j afetada não é mencionada nem carregada em nenhum serviço. Portanto, esse é um falso positivo e pode ser seguramente ignorado.
  • As equipes de engenharia estão trabalhando para confirmar se outros componentes do IDPA foram afetados pelo CVE-2021-45105.
  • Em caso afirmativo, as etapas de correção serão liberadas de acordo com a política do escritório de segurança da Dell Technologies.
  • Para CDRA, consulte a KB: Equipamento PowerProtect série DP e IDPA: Apache Log4j CVE-2021-44228

Subcomponente: Cloud Disaster Recovery

Nota: O Cloud Disaster Recovery (CDR) no equipamento PowerProtect série DP/IDPA versão 2.7.0 está vulnerável a este CVE-2021-44228 e CVE-2021-45046.
As versões 19.5 e inferiores do CDR (IDPA versões 2.6 e anteriores) não são vulneráveis, e esta seção do artigo da Base de conhecimento não se aplica aos clientes dessas versões.

Para CDRA — Máquina virtual no local

  1. Abra o SSH para a VM CDRA usando o usuário cdr

  2. Crie cdra_log4jfix.sh no diretório /tmp/ com o seguinte conteúdo:

    • Execute o seguinte comando para criar o script cdra_log4jfix.sh: 
      vi /tmp/cdra_log4jfix.sh
    • Pressione a tecla I no teclado para entrar no modo Insert e copie o conteúdo conforme mostrado abaixo.
    • Pressione ESC e, em seguida, :wq! para salvar o arquivo. 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. Execute os seguintes comandos para executar o script de correção:

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

Para CDRS: implementado na nuvem (AWS/AZURE/AWS GOV/AZURE GOV)
Abra um chamado com o Suporte Dell e consulte este artigo 000194520 número para aplicar a correção ao CDRS (Cloud Disaster Recovery).

Importante: Algumas ferramentas de verificação de segurança, quando executadas no DPC (System Manager) e no componente CDRA do equipamento PowerProtect série DP e do Integrated Data Protection Appliance (IDPA), mostram que a vulnerabilidade do CVE-2021-44228 permanece mesmo após a correção, mas a biblioteca Log4j afetada não é mencionada nem carregada em serviço algum. Portanto, isso é um falso positivo.

Subcomponente: Avamar Server (software de proteção) e Data Protection Extension

  • O Avamar Server (software de proteção/servidor de backup) não está vulnerável ao CVE-2021-44228 nem ao CVE-2021-45046. Essas vulnerabilidades são específicas para a classe Esse hiperlink direcionará você para um site fora da Dell Technologies.JNDI Lookup que só existe no arquivo jar log4j-core. O Avamar Server não instala o arquivo jar jog4j-core. O upgrade para o equipamento PowerProtect série DP (IDPA) versão 2.7.1 poderá ser realizado se os clientes ainda quiserem atualizar a versão do log4j para a 2.16. Essa atualização pode impedir notificações de falsos positivos por meio de ferramentas de verificação de segurança.
  • O Cloud Director Data Protection Extension (se configurado) ainda está vulnerável e as etapas de solução temporária mencionadas na KB 194480 podem ser aplicadas aos componentes do Data Protection Extension anteriores à versão 19.4.
  • Para o vCloud Director Data Protection Extension 19.4, recomendamos aplicar o hotfix 19.4.0.214_HF.5, conforme descrito na seção Correção. Os detalhes do patch podem ser encontrados na KB 194480.

Se você implementar as etapas de solução temporária descritas nesta seção e, em seguida, atualizar o Data Protection Extension para uma versão não corrigida, deverá reimplementar as etapas de solução temporária.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.