Zařízení PowerProtect řady DP a IDPA: Apache Log4j CVE-2021-44228

Summary: Cílem tohoto článku je popsat automatizovaný nástroj pro nápravu chyby CVE-2021-44228 Apache Log4j Remote Code Execution using using "LORD" (LOg4J Remediation for Dell) v zařízeních PowerProtect řady DP a IDPA (Integrated Data Protection Appliance). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Označení normy: DSA-2021-285 Aktualizace zabezpečení zařízení Dell Integrated Data Protection Appliance (PowerProtect řady DP) pro vzdálené spouštění kódu chyby Apache Log4j (CVE-2021-44228).

Dopadová matice

Zařízení
Dell PowerProtect řady DP Integrované zařízení pro ochranu dat		 Dotčená verze?
Komponentní v2.3.x v2.4.x v2.5 v2.6.x verze 2.7.0
vCenter (správce hypervisoru) Ano Ano Ano Ano Ano
Data Domain (ochrana úložiště) Ne Ne Ne Ne Ano
Avamar (zálohovací server / software pro ochranu) Ne Ne Ne Ne Ne
Data Protection Central (správce systému) Ano Ano Ano Ano Ano
Data Protection Search (Hledat) Ano Ano Ano Ano Ano
Zotavení po havárii v cloudu Ne Ne Ne Ne Ano
Appliance Configuration Manager (ACM) Ne Ne Ne Ne Ano
Poradce pro ochranu dat (DPA / reporting a analýzy) Ano Ano Ano Ano Ano

Trvalá oprava:

Upgrade na zařízení PowerProtect řady DP a IDPA verze 2.7.2

Poznámka: Zařízení PowerProtect řady DP a vydání IDPA 2.7.2 obsahují knihovnu Log4j 2.17.1 (oproti verzi 2.17 v zařízení PowerProtect řady DP a IDPA verze 2.7.1), která obsahuje pokročilejší opravy.

Branka

Toto zástupné řešení opravuje chybu CVE-2021-44228 Apache Log4j Remote Code ExecutionTento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies. using the " LORD"automation tool (LOg4J Remediation for Dell) pro zařízení PowerProtect řady DP a IDPA (Integrated Data Protection Appliance).

Podívejte se na toto video o spuštění automatizačního nástroje "LORD":

Poznámka: Odhadovaná doba potřebná k provedení těchto kroků může být přibližně 20 minut. Kdykoli se obraťte na podporu společnosti Dell a požádejte o další pomoc.
Poznámka:
  • Tento článek znalostní databáze Dell obsahuje kroky nápravy pro verze 2.3.x, 2.4.x, 2.5, 2.6.x a 2.7.0.
  • Nepoužívejte tento článek znalostní databáze pro žádnou jinou verzi zařízení PowerProtect řady DP nebo IDPA.
  • Tento článek opravuje pouze chybu CVE-2021-44228.
  • Technický tým společnosti Dell vydal systém PowerProtect řady DP-IDPA verze 2.7.1, který opravuje chybu CVE-2021-44228 na všech komponentách.
  • Pokud uživatel upgraduje na neopravenou verzi zařízení PowerProtect řady DP nebo IDPA, je nutné znovu použít zástupné kroky.
  • Pro zobrazení přiložených souborů a nástrojů musíte být přihlášeni do Dell.com/support.
  • Náprava komponent zotavení po havárii v cloudu není v tuto chvíli v nástroji pro automatizaci. Pokud je nasazena komponenta Cloud DR, kontaktujte podporu společnosti Dell a požádejte o pomoc s řešením.

Dopad a rizika

Tento nástroj může ve verzi 2.7.0 zakázat protokoly http a https v systému Data Domain, aby byl systém zabezpečen před chybou CVE-2021-44228, a zakázat uživatelské rozhraní. Další informace naleznete níže.

Nemá to žádný vliv na funkci. Před upgradem zařízení PowerProtect řady DP nebo zařízení IDPA lze vrátit změny ve virtuálním počítači ACM, aby nedošlo k jakémukoli dopadu na upgrady.

Požadavky:

  • Stáhněte si nejnovější verzi nástroje LORD z tohoto článku (přiložené soubory).
  • Extrahujte soubor .zip.

Spuštění nástroje:

Vítejte v nástroji pro opravy CVE-2021-44228.

  • Tento nástroj vám pomůže s aktualizací chyby CVE-2021-44228 pro několik produktů Dell, mimo jiné IDPA, PPDM a NetWorker.
  • Zvláštní poznámka: Nástroj automatizuje nápravné kroky pro všechny interní komponenty.
  • Spustí se také následující nápravné a ověřovací kontroly.
  • Rady společnosti Apache týkající se chyby CVE-2021-45105 se neustále vyvíjejí a novým chybám zabezpečení jsou přiřazována nová referenční ID CVE. Jakmile jsou tyto nové CVE zjištěny, technické týmy společnosti Dell Technologies v případě potřeby objasňují kroky k jejich dopadu a nápravě.
  • Jakmile budou k dispozici, tento nástroj bude aktualizován tak, aby zahrnoval tyto nové postupy.

Postup:

  1. Zkopírujte nástroj "lord_vX" do ACM do adresáře "/tmp" pomocí softwaru pro přenos souborů, jako je WinSCP atd.

    Poznámka: Znak v názvu souboru "X" označuje verzi nástroje LORD. Například "lord_v7".

  2. Přihlaste se přes SSH na server Appliance Configuration Manager (ACM) a přihlaste se jako uživatel "root".

    cd /tmp

  3. Spuštěním následujícího příkazu udělte oprávnění ke spouštění:

    chmod +x /tmp/lord_vX

  4. Spuštěním následujícího příkazu spusťte nástroj LORD:

    ./tmp/lord_vX

  5. Postupujte podle pokynů.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    Ukázkový výstup z hlavní nabídky nápravy:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

Vyberte možnost #1 a použijte nápravné kroky u všech komponent.

Důležité: Při instalaci opravy na Data Domain (Protection Storage) budete vyzváni k zakázání http a https (k dispozici pouze v IDPA verze 2.7.0).
  • Výběrem možnosti "Ne" nápravu Data Domain prozatím přeskočíte. Další možností je použít minimální rušivý upgrade (MDU) podle článku znalostní databáze: 194425 (K přečtení tohoto článku je vyžadován účet podpory Dell)
    Poznámka: Neprovádějte upgrade kódu Data Domain (Protection Storage). Pro zařízení PowerProtect řady DP (IDPA) je povolen pouze minimální rušivý upgrade (MDU)
  • Chcete-li uživatelské rozhraní v rámci automatizovaného pracovního postupu zakázat, můžete vybrat možnost "Ano" 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • Můžete také vybrat, na které IP adresu nebo hostitele chcete omezit přístup: 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • Ukázkový výstup: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

Po provedení nápravných kroků poskytne společnost LORD přehled celkového stavu:

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Aktualizace definice stavu:

  • HOTOVÝ: Tento stav znamená, že příslušná komponenta byla zranitelná a byla aktualizována.
  • NOT_CONFIGURED_IN_IDPA: Tento stav znamená, že příslušná komponenta není nasazena/nakonfigurována.
  • PŘESKOČENO / NENÍ VYŽADOVÁNO / OVĚŘENÍ BYLO ÚSPĚŠNÉ: Tento stav znamená, že příslušná komponenta byla přeskočena, protože není zranitelná vůči CVE-2021-44228, NEBO CVE-2021-44228 nemá vliv na verzi této relevantní komponenty nebo že příslušná komponenta již byla aktualizována.

Pokyny k CVE-2021-45105

  • Ověření při spuštění na komponentě System Manager zařízení PowerProtect řady DP [DPC] ukazuje, že je zranitelná kvůli chybě CVE-2021-44228, ale dotčená knihovna Log4j není zmíněna ani načtena v žádné službě. Jedná se tedy o falešně pozitivní výsledek a lze jej bezpečně ignorovat.
  • Technické týmy pracují na potvrzení, zda se chyba CVE-2021-45105 týká i dalších komponent v zařízení IDPA.
  • V takovém případě budou vydány nápravné kroky v souladu se zásadami oddělení zabezpečení společnosti Dell Technologies.
  • Informace o CDRA naleznete v článku znalostní databáze: Zařízení PowerProtect řady DP a IDPA: Apache Log4j CVE-2021-44228

Podsoučást: Zotavení po havárii v cloudu

Poznámka: Chyby CVE-2021-44228 a CVE-2021-45046 jsou zranitelné při zotavení po havárii cloudu (CDR) v zařízení PowerProtect řady DP / IDPA verze 2.7.0.
CDR verze 19.5 a nižší (IDPA verze 2.6 a nižší) nejsou ohroženy a tato část článku znalostní databáze se na zákazníky s těmito verzemi nevztahuje.

Pro CDRA – místní virtuální počítač

  1. Otevřete virtuální počítač přes SSH na CDRA pomocí uživatele cdr .

  2. Vytvořte cdra_log4jfix.sh v adresáři /tmp/ s následujícím obsahem:

    • Spuštěním následujícího příkazu vytvořte skript cdra_log4jfix.sh: 
      vi /tmp/cdra_log4jfix.sh
    • Stisknutím klávesy I na klávesnici přejděte do režimu vložení a zkopírujte obsah, jak je uvedeno níže.
    • Stiskněte klávesu ESC a poté :wq! soubor uložte. 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. Spuštěním následujících příkazů proveďte skript nápravy:

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

Pro CDRS – nasazené v cloudu (AWS/AZURE/AWS GOV/AZURE GOV)
Otevřete žádost o službu u podpory společnosti Dell a podívejte se na tento článek s číslem 000194520 pro použití opravy na CDRS (Cloud Disaster Recovery).

Důležité: Některé nástroje pro kontrolu zabezpečení při spuštění v komponentách DPC (System Manager) a CDRA zařízení PowerProtect řady DP (IDPA) ukazují, že jsou zranitelné kvůli chybě CVE-2021-44228, a to i po nápravě, ale dotčená knihovna Log4j není zmíněna ani načtena v žádné službě. Jedná se tedy o falešně pozitivní výsledek.

Podsoučást: Avamar Server (software na ochranu) a rozšíření pro ochranu dat

  • Avamar Server (software na ochranu / zálohovací server) není ohrožen chybami CVE-2021-44228 ani CVE-2021-45046. Tyto chyby zabezpečení jsou specifické pro třídu Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.JNDI Lookup, která existuje pouze v souboru log4j-core jar. Avamar Server nenainstaluje soubor jar jog4j-core. Upgrade zařízení PowerProtect řady DP (IDPA) na verzi 2.7.1 lze provést, pokud zákazníci stále chtějí aktualizovat protokol log4j na verzi 2.16. Tato aktualizace může zabránit falešným poplachům pomocí nástrojů pro kontrolu zabezpečení.
  • Rozšíření Cloud Director Data Protection Extension (pokud je nakonfigurované) je stále zranitelné a kroky zástupného řešení uvedené v článku KB 194480 lze použít pro komponenty rozšíření ochrany dat starší než verze 19.4.
  • Pro rozšíření ochrany dat vCloud Director verze 19.4 doporučujeme použít opravu hotfix 19.4.0.214_HF.5, jak je popsáno v části Náprava. Podrobnosti o opravě naleznete v článku KB 194480.

Pokud implementujete kroky alternativního řešení popsané v této části a pak upgradujete rozšíření ochrany dat na neopravenou verzi, musíte znovu implementovat kroky zástupného řešení.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.