PowerProtect DP 系列裝置和 IDPA:Apache Log4j CVE-2021-44228
Summary: 本文旨在概述在 PowerProtect DP 系列應用裝置和 Integrated Data Protection Appliance (IDPA) 中使用「LORD」工具 (適用於 Dell 的 LOg4J 補救) 補救 CVE-2021-44228 Apache Log4j 遠端代碼執行的自動化工具。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
DSA-2021-285:Dell Integrated Data Protection Appliance (PowerProtect DP 系列) 安全性更新,適用於 Apache Log4j 遠端代碼執行漏洞 (CVE-2021-44228)。
影響對照表
| Dell PowerProtect DP 系列應用裝置 整合式資料保護應用裝置 |
受影響的版本? | ||||
|---|---|---|---|---|---|
| 元件 | v2.3.x | v2.4.x | v2.5 | v2.6.x | v2.7.0 |
| vCenter (Hypervisor Manager) | 是 | 是 | 是 | 是 | 是 |
| Data Domain (Protection Storage) | 否 | 否 | 否 | 否 | 是 |
| Avamar (備份伺服器/保護軟體) | 否 | 否 | 否 | 否 | 否 |
| Data Protection Central (System Manager) | 是 | 是 | 是 | 是 | 是 |
| Data Protection Search (搜尋) | 是 | 是 | 是 | 是 | 是 |
| 雲端災難回復 | 否 | 否 | 否 | 否 | 是 |
| Appliance Configuration Manager (ACM) | 否 | 否 | 否 | 否 | 是 |
| Data Protection Advisor (DPA/報告與分析) | 是 | 是 | 是 | 是 | 是 |
永久修正
升級至 PowerProtect DP 系列應用裝置和 IDPA 2.7.2 版
- Dell 支援網站提供 PowerProtect DP 系列應用裝置和 IDPA 2.7.2 版。
注意:PowerProtect DP 系列應用裝置和 IDPA 2.7.2 版具有 Log4j 2.17.1 程式庫 (相較於在 PowerProtect DP 系列應用裝置和 IDPA 2.7.1 版中的 2.17),這有更多進階修正。
目的
此因應措施是針對 PowerProtect DP 系列裝置和 Integrated Data Protection Appliance (IDPA),使用「LORD」自動化工具 (適用於 Dell 的 LOg4J 補救措施) 補救 CVE-2021-44228 Apache Log4j 遠端代碼執行
觀看此關於執行「LORD」自動化工具的影片:
注意:執行這些步驟的預估時間約為 20 分鐘。請隨時聯絡 Dell 支援以取得進一步協助。
注意:
- 本 Dell 知識文章包含 2.3.x、2.4.x、2.5、2.6.x 和 2.7.0 版本的因應措施補救步驟。
- 請勿將此 KB 文章用於任何其他 PowerProtect DP 系列或 IDPA 版本。
- 此因應措施文章僅補救 CVE-2021-44228。
- Dell 工程部門已發佈 PowerProtect DP 系列 IDPA 2.7.1 版,可修正所有元件上的 CVE-2021-44228。
- 如果使用者升級到 PowerProtect DP 系列應用裝置或 IDPA 非補救的版本,則必須重新套用因應措施步驟。
- 登入 Dell.com/support 以查看附加的檔案和工具。
- 雲端災難復原 (DR) 元件補救目前 不在 自動化工具中。如果已部署雲端 DR 元件,請聯絡 Dell 支援尋求協助以解決問題。
影響和風險
此工具可能會停用在 2.7.0 版 Data Domain 上的 http 和 https,以保護系統免於 CVE-2021-44228,停用 UI。請參考下面更多詳細資訊。
對裝置不會造成任何功能性影響。在 PowerProtect DP 系列應用裝置或 IDPA 升級之前,復原 ACM 虛擬機器上的變更,以避免對升級造成任何影響。
先決條件:
- 請從本文下載 LORD 工具的最新版本 (附加的檔案)。
- 解壓縮 .zip 檔案。
執行此工具:
歡迎使用 CVE-2021-44228 修補工具。
- 此公用程式可協助您更新數種 Dell 產品的 CVE-2021-44228,包括但不限於 IDPA、PPDM 和 NetWorker。
- 特別注意:此工具會自動執行所有內部元件的補救步驟。
- 也會執行後續補救和驗證檢查。
- Apache 針對 CVE-2021-45105 的建議持續演進,並為新的漏洞指派新的 CVE 參考 ID。探索到這些新的 CVE 時,Dell Technologies 的工程團隊會在必要時釐清影響和補救步驟。
- 這些可用時,此工具會更新以包含這些新步驟。
步驟:
-
使用 WinSCP 等檔案傳輸軟體,將「lord_vX」工具複製到 ACM 的「/tmp」目錄中
注意:檔案名稱「X」中的字元代表 LORD 工具的版本。例如,“lord_v7”。 -
將 SSH 開啟至 Appliance Configuration Manager (ACM) 伺服器,並以「root」使用者身分登入。
cd /tmp
-
執行下列命令以提供可執行檔權限:
chmod +x /tmp/lord_vX
-
執行下列命令以執行 LORD 工具:
./tmp/lord_vX
-
請遵循提示操作。
acm5800:/tmp # ./tmp/lord_v9 sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh) 2021-12-23 20:54:22,399 [INFO] SESSION STARTED 2021-12-23 20:54:22,400 [INFO] Logging everything to : lord.log Session Start Time : 2021-12-23 20:54 ------------------------------------------------- ------------------------------------------------- PowerProtect CVE-2021-44228 Patcher 5.0 Developer : Pankaj Pande(p.pande@dell.com) Release : 21 Dec 2021 ------------------------------------------------- Welcome to CVE-2021-44228 Patching Tool. This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker. Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's. As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary. When these are available, this tool will be updated to include these new steps ------------------------------------------------- 2021-12-23 20:54:22,403 [INFO] Starting Build : 5.0 2021-12-23 20:54:22,403 [INFO] Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name Enter the ACM Password : Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :補救主功能表的範例輸出:
2021-12-23 20:54:34,972 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:54:34,972 [INFO] /// Main Menu /// 2021-12-23 20:54:34,972 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:54:34,972 [INFO] ------------------------------------------------- Select how would you like to proceed : 1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components] 2) Apply workaround for vCenter 3) Apply workaround for Data Domain 4) Apply workaround for Avamar 5) Apply workaround for DPSearch 6) Apply workaround for ACM 7) Apply workaround for DPC 9) Exit the Program Enter your choice number :
選取選項 #1 以將補救步驟套用至所有元件。
重要:將修正套用至 Data Domain (Protection Storage) 時,系統會提示您停用 http 和 https (僅於 IDPA 2.7.0 版中找到)。
- 選取「否」,會暫時略過 Data Domain 補救。另一個選項是依 KB 規定套用最小破壞式升級 (MDU ):194425 (需要使用 Dell 支援帳戶才能檢視本文)
注意:請勿執行 Data Domain (Protection Storage) 程式碼升級。PowerProtect DP 系列應用裝置 (IDPA) 僅允許最小破壞式升級 (MDU)
- 如果您想要停用 UI,根據自動化工作流程,您可以選取「是」
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
- 您也可以選擇要限制存取的 IP 位址或主機:
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y Would you like to disable the UI completely? Enter 'y' or 'n':n 2021-12-23 21:15:48,365 [INFO] Disabling GUI http and https access - User based Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
- 範例輸出:
2021-12-23 20:58:56,722 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:58:56,722 [INFO] // Performing Data Domain Patching // 2021-12-23 20:58:56,722 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:58:56,722 [INFO] ------------------------------------------------------ 2021-12-23 20:58:56,722 [INFO] Working on Data Domain Host : 10.60.9.51 for patching 2021-12-23 20:58:56,722 [INFO] ------------------------------------------------------ 2021-12-23 20:58:57,266 [INFO] Found DD version as : 7.6.0.20-689174 2021-12-23 20:58:57,266 [INFO] This version of Data Domain patching involves disabling the UI. Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y Would you like to disable the UI completely? Enter 'y' or 'n':y 2021-12-23 21:02:04,087 [INFO] Disabling GUI http and https access - Completely 2021-12-23 21:02:05,919 [INFO] HTTP Access: disabled 2021-12-23 21:02:05,920 [INFO] GUI http access has been disabled 2021-12-23 21:02:08,507 [INFO] HTTPS Access: disabled 2021-12-23 21:02:08,507 [INFO] GUI https access has been disabled 2021-12-23 21:02:08,509 [INFO] Data Domain patching completed
補救步驟完成後,LORD 會提供整體狀態檢閱:
2021-12-23 21:03:23,782 [INFO] /////////////////////////////////////////////////////// 2021-12-23 21:03:23,782 [INFO] // OVERALL STATUS // 2021-12-23 21:03:23,782 [INFO] /////////////////////////////////////////////////////// 2021-12-23 21:03:23,782 [INFO] OVERALL STATUS +---------------------+-------------------------------------------+ | Product | Patching Status | +---------------------+-------------------------------------------+ | Data Domain | COMPLETED | | ACM | COMPLETED | | DPSearch_X.X.X.X | COMPLETED | | DPCentral | COMPLETED | | DPA | NOT_CONFIGURED_IN_IDPA | | Avamar | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS | | vCenter | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS | +---------------------+-------------------------------------------+
更新狀態定義:
- 成:此狀態表示相關元件容易受到攻擊並且已更新。
- NOT_CONFIGURED_IN_IDPA:此狀態表示相關元件並未部署/設定。
- SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS:此狀態表示已略過相關元件,因為其不易受到 CVE-2021-44228 的影響,或 CVE-2021-44228 不會影響該相關元件的版本,或是相關元件已經更新。
CVE-2021-45105 指引
- 在 PowerProtect DP 系列應用裝置 [ DPC ] 的 System Manager 元件上執行驗證時,顯示容易受到 CVE-2021-44228 攻擊,但受影響的 Log4j 程式庫未在任何服務中提及或載入。因此,這是偽陽性,可以放心忽略。
- 工程團隊正在努力確認 IDPA 中的其他元件是否受到 CVE-2021-45105 的影響。
- 若有,則會依照 Dell Technologies Security Office 政策發佈補救步驟。
- 如需 CDRA,請參閱 KB:PowerProtect DP 系列裝置和 IDPA:Apache Log4j CVE-2021-44228
子元件:雲端災難回復
注意:PowerProtect DP 系列應用裝置/IDPA 2.7.0 版內的雲端災難回復 (CDR) 容易受到此 CVE-2021-44228 和 CVE-2021-45046 的影響。
CDR 19.5 版及更低版本 (IDPA 2.6 版及更低版本) 不易受到攻擊,而且本知識文章章節不適用於採用這些版本的客戶。
CDR 19.5 版及更低版本 (IDPA 2.6 版及更低版本) 不易受到攻擊,而且本知識文章章節不適用於採用這些版本的客戶。
若為 CDRA - 內部部署虛擬機器
-
使用 cdr 使用者開啟 SSH 至 CDRA VM
-
在 /tmp/ 目錄中建立包含以下內容的cdra_log4jfix.sh:
- 執行下列命令以建立cdra_log4jfix.sh指令檔:
vi /tmp/cdra_log4jfix.sh
- 按下鍵盤上的 I 鍵以進入插入模式,並依下列步驟複製內容。
- 按下 ESC 鍵,然後 :wq!以保存檔。
#! /bin/sh cdr_backup() { mkdir -p /tmp/cdr_backup cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak } update_executable() { echo "Updating CDRA executable." sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable } update_restore_vm() { echo "Updating restore_vm.jar." cd /home/cdr/cdra/resources/restore zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class } update_cdra_main() { echo "Updating cdra_main.jar." LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar echo "Stopping CDR service." sudo service cdra stop cd /home/cdr/cdra/lib/ mkdir -p BOOT-INF/lib unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION rm -rf BOOT-INF echo "Starting CDR service. This may take a few minutes." sudo service cdra start for i in {1..10} do sleep 30 echo "Checking CDR service status..." RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json") if [[ "$RESP_CODE" == 200 ]]; then echo "CDR service started successfully." return 0 fi done echo "Failed to run CDR service. Please contact Dell Support." exit 1 } main() { CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k) echo "CDR version is : $CDR_VER" if [[ $CDR_VER =~ 19\.[6-9] ]]; then cdr_backup update_executable update_restore_vm update_cdra_main else echo "log4j workaround is required only for CDR versions between 19.6 and 19.9." exit 0 fi rm -rf /tmp/cdr_backup } main
- 執行下列命令以建立cdra_log4jfix.sh指令檔:
-
執行下列命令以執行補救指令檔:
dos2unix /tmp/cdra_log4jfix.sh
chmod +x /tmp/cdra_log4jfix.sh
sudo /tmp/cdra_log4jfix.sh
若為 CDRS - 部署在雲端 (AWS/AZURE/AWS GOV/AZURE GOV)
向 Dell 支援開立服務要求,並參閱此文章編號 000194520,以將修正套用至 CDRS (雲端災難回復)。
重要:在 DPC (System Manager) 和 PowerProtect DP 系列應用裝置 (IDPA) 的 CDRA 元件上執行時,某些安全性掃描工具顯示即使經過補救仍容易受到 CVE-2021-44228 攻擊,但受影響的 Log4j 程式庫未在任何服務中提及或載入。因此,這是偽陽性。
子元件:Avamar Server (保護軟體) 和 Data Protection Extension
- Avamar Server (保護軟體/備份伺服器) 不易受到 CVE-2021-44228 或 CVE-2021-45046 的影響。這些漏洞是僅存在於 log4j core jar 檔案中的 JNDI 查閱類別
- Cloud Director Data Protection Extension (若已設定) 仍易受攻擊, 在 KB 194480 中提及的因應措施步驟可套用至 19.4 版之前的 Data Protection Extension 元件。
- 針對 19.4 vCloud Director Data Protection Extension,我們建議套用 19.4.0.214_HF.5 修正,如補救一節中所述。修補程式詳細資料可在 KB 194480 上找到。
如果您實作本節中所述的因應措施步驟,然後將 Data Protection Extension 升級至非補救版本,則必須重新實作因應措施步驟。
Affected Products
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version: 40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.