PowerProtect DP-seriens enhed og IDPA: Apache Log4j CVE-2021-44228

Summary: Denne artikel beskriver det automatiserede værktøj til afhjælpning af CVE-2021-44228 Apache Log4j-fjernudførelse af kode ved hjælp af værktøjet "LORD" (LOg4J-afhjælpning til Dell) i PowerProtect DP-seriens enhed og integrerede databeskyttelsesenhed (IDPA). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

DSA-2021-285: Sikkerhedsopdatering til Dells integrerede databeskyttelsesenhed (PowerProtect DP-serien) for Apache Log4j-sårbarheden i forbindelse med udførelse af fjernkode (CVE-2021-44228).

Effektmatrix

Dell PowerProtect DP-seriens enhed
med integreret databeskyttelsesenhed		 version udført?
Komponent v2.3.x v2.4.x v2.5 v2.6.x v2.7.0
vCenter (Hypervisor Manager) Ja Ja Ja Ja Ja
Data Domain (beskyttelseslager) Nej Nej Nej Nej Ja
Avamar (sikkerhedskopieringsserver/beskyttelsessoftware) Nej Nej Nej Nej Nej
Data Protection Central (Systemadministrator) Ja Ja Ja Ja Ja
Databeskyttelsessøgning (søgning) Ja Ja Ja Ja Ja
Genoprettelse efter nedbrud i skyen Nej Nej Nej Nej Ja
ACM (Appliance Configuration Manager) Nej Nej Nej Nej Ja
Data Protection Advisor (DPA/rapportering og analyse) Ja Ja Ja Ja Ja

Permanent rettelse

Opgrader til PowerProtect DP-seriens enhed og IDPA version 2.7.2

  • PowerProtect DP-seriens enhed og IDPA version 2.7.2-versionen er tilgængelig på Dells supportwebsted.
Bemærk: PowerProtect DP-seriens enhed og IDPA 2.7.2-versionen har Log4j 2.17.1-biblioteket (vs. 2.17 i PowerProtect DP-seriens enhed og IDPA version 2.7.1), som har mere avancerede rettelser.

Mål

Denne løsning er at afhjælpe CVE-2021-44228 Apache Log4j-fjernudførelseDette hyperlink fører dig til et websted uden for Dell Technologies. af kode ved hjælp af automatiseringsværktøjet "LORD"(LOg4J Remediation for Dell) til PowerProtect DP-seriens enhed og Integrated Data Protection Appliance (IDPA).

Se denne video om udførelse af "LORD" automatiseringsværktøj:

Bemærk: Den anslåede tid til at køre gennem disse trin kan være ca. 20 minutter. Kontakt Dell Support når som helst for at få yderligere hjælp.
Bemærk:
  • Denne artikel i Dells Knowledge Base indeholder løsningsløsninger til afhjælpningstrin for versionerne 2.3.x, 2.4.x, 2.5, 2.6.x og 2.7.0.
  • Brug ikke denne KB-artikel til andre versioner af PowerProtect DP-serien eller IDPA.
  • Denne artikel om løsninger afhjælper kun CVE-2021-44228.
  • Dell Engineering har udgivet PowerProtect DP Series-IDPA version 2.7.1, der retter CVE-2021-44228 på alle komponenter.
  • Hvis en bruger opgraderer til en ikke-afhjulpet version af PowerProtect DP-seriens enhed eller IDPA, skal løsningstrinnene anvendes igen.
  • Vær logget på Dell.com/support for at se de vedhæftede filer og værktøjer.
  • Cloud DR-komponent Afhjælpning findes ikke i automatiseringsværktøjet på nuværende tidspunkt. Hvis der implementeres en Cloud DR-komponent, skal du kontakte Dell Support for at få hjælp til at løse problemet.

Påvirkning og risici

Dette værktøj deaktiverer muligvis http og https på Data Domain i version 2.7.0 for at sikre systemet mod CVE-2021-44228 ved at deaktivere brugergrænsefladen. Se nedenfor for at få flere oplysninger.

Der er ingen funktionel indvirkning på apparatet. Fortryd ændringer på ACM VM før PowerProtect DP-seriens enheds- eller IDPA-opgraderinger for at undgå påvirkning af opgraderinger.

Forudsætninger:

  • Download den nyeste version af LORD-værktøjet fra denne artikel (vedhæftede filer).
  • Udpak .zip-filen.

Sådan kører værktøjet:

Velkommen til CVE-2021-44228 Patching Tool.

  • Dette hjælpeprogram hjælper dig med at opdatere CVE-2021-44228 for flere Dell-produkter, herunder, men ikke begrænset til, IDPA, PPDM og NetWorker.
  • Særlig bemærkning: Værktøjet automatiserer afhjælpningstrin for alle interne komponenter.
  • Efter afhjælpning og validering køres der også kontroller.
  • Rådgivning fra Apache vedrørende CVE-2021-45105 fortsætter med at udvikle sig, med nye sårbarheder, der tildeles nye CVE-reference-id'er. Efterhånden som disse nye CVE opdages, klarlægger Dell Technologies' tekniske teams påvirknings- og afhjælpningstrin, hvor det er nødvendigt.
  • Når disse er tilgængelige, opdateres værktøjet, så det omfatter disse nye trin.

Trin:

  1. Kopier værktøjet "lord_vX" over på ACM til mappen "/tmp" ved hjælp af filoverførselssoftware som WinSCP osv

    Bemærk: Et tegn i filnavnet "X" angiver versioneringen af LORD-værktøjet. For eksempel "lord_v7."

  2. Åbn SSH til ACM-serveren (Appliance Configuration Manager), og log på som "root"-bruger.

    cd /tmp

  3. Kør følgende kommando for at give eksekverbare tilladelser:

    chmod +x /tmp/lord_vX

  4. Kør følgende kommando for at køre LORD-værktøjet:

    ./tmp/lord_vX

  5. Følg anvisningerne.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    Eksempel på output fra hovedmenuen til afhjælpning:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

Vælg mulighed #1 for at anvende afhjælpningstrin på alle komponenter.

Vigtigt: Når du anvender rettelsen på Data Domain (Protection Storage), bliver du bedt om at deaktivere http og https (findes kun i IDPA version 2.7.0).
  • Hvis du vælger "Nej", springes Data Domain-afhjælpningen over indtil videre. En anden mulighed er at anvende MDU (Minimum Disruptive Upgrade) i henhold til KB: 194425 (der kræves en Dell Support-konto for at se denne artikel)
    Bemærk: Udfør ikke en opgradering af Data Domain-kode (Protection Storage). Kun minimum forstyrrende opgradering (MDU) er tilladt for PowerProtect DP-seriens enhed (IDPA)
  • Hvis du vil deaktivere brugergrænsefladen i henhold til automatiseret arbejdsgang, kan du vælge "Ja" 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • Du kan også vælge at vælge, hvilken IP-adresse eller vært du vil begrænse adgangen til: 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • Eksempel på output: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

Når afhjælpningstrinnene er udført, giver Herren en samlet statusgennemgang:

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Opdatering af statusdefinition:

  • AFSLUTTET: Denne status angiver, at den relevante komponent var sårbar og er blevet opdateret.
  • NOT_CONFIGURED_IN_IDPA: Denne status angiver, at den relevante komponent ikke er implementeret/konfigureret.
  • SPRUNGET OVER/IKKE PÅKRÆVET/BEKRÆFTELSE GENNEMFØRT: Denne status angiver, at den relevante komponent blev sprunget over, da den ikke er sårbar over for CVE-2021-44228, ELLER CVE-2021-44228 ikke påvirker versionen af den relevante komponent, eller den relevante komponent er allerede opdateret.

Vejledning om CVE-2021-45105

  • Bekræftelse, når den køres på System Manager-komponenten i PowerProtect DP-seriens enhed[DPC], viser, at den er sårbar over for CVE-2021-44228, men det berørte Log4j-bibliotek er ikke nævnt eller indlæst i nogen tjeneste. Derfor er dette en falsk positiv og kan sikkert ignoreres.
  • Tekniske teams arbejder på at bekræfte, om andre komponenter i IDPA er påvirket af CVE-2021-45105.
  • Hvis det er tilfældet, frigives afhjælpningstrin i overensstemmelse med Dell Technologies Security Office's politik.
  • For CDRA, se KB: PowerProtect DP-seriens enhed og IDPA: Apache Log4j CVE-2021-44228

Underkomponent: Genoprettelse efter nedbrud i skyen

Bemærk: Cloud-genoprettelse efter nedbrud (CDR) i PowerProtect DP-seriens enhed/IDPA version 2.7.0 er sårbar over for denne CVE-2021-44228 og CVE-2021-45046.
CDR-versioner 19.5 og derunder (IDPA version 2.6 og derunder) er ikke sårbare, og dette afsnit i Knowledge Base-artiklen gælder ikke for kunder på disse versioner.

Til CDRA – lokal virtuel maskine

  1. Åbn SSH til CDRA VM ved hjælp af cdr-bruger

  2. Opret cdra_log4jfix.sh i mappen /tmp/ med følgende indhold:

    • Kør følgende kommando for at oprette cdra_log4jfix.sh scriptet: 
      vi /tmp/cdra_log4jfix.sh
    • Tryk på I-tasten på tastaturet for at gå ind i Indsæt-tilstand, og kopier indholdet som angivet nedenfor.
    • Tryk på ESC og derefter på :wq! for at gemme filen. 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. Kør følgende kommandoer for at udføre afhjælpningsscriptet:

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

Til CDRS – udrullet i clouden (AWS/AZURE/AWS GOV/AZURE GOV)
Åbn en serviceanmodning hos Dell Support, og se dette artikelnummer 000194520 for at anvende rettelsen på CDRS (Cloud Disaster Recovery).

Vigtigt: Nogle sikkerhedsscanningsværktøjer, når de køres på DPC (System Manager) og CDRA-komponenten i PowerProtect DP Series Appliance (IDPA), viser, at det er sårbart for CVE-2021-44228, selv efter afhjælpning, men det berørte Log4j-bibliotek er ikke nævnt eller indlæst i nogen tjeneste. Derfor er dette en falsk positiv.

Underkomponent: Avamar Server (beskyttelsessoftware) og databeskyttelsesudvidelse

  • Avamar Server (beskyttelsessoftware/sikkerhedskopieringsserver) er ikke sårbar over for CVE-2021-44228 eller CVE-2021-45046. Disse sårbarheder er specifikke for JNDI Lookup-klassenDette hyperlink fører dig til et websted uden for Dell Technologies. , som kun findes i log4j-core jar-filen. Avamar Server installerer ikke jog4j-core jar-filen. Opgradering til PowerProtect DP Series Appliance (IDPA) version 2.7.1 kan udføres, hvis kunder stadig ønsker at opdatere log4j-versionen til 2.16. Denne opdatering kan forhindre falske positive meddelelser fra sikkerhedsscanningsværktøjer.
  • Cloud Director Data Protection Extension (hvis konfigureret) er stadig sårbar, og de omgåelsestrin, der er nævnt i KB 194480 , kan anvendes på Data Protection Extension-komponenter, der er ældre end version 19.4.
  • For 19.4 vCloud Director Data Protection Extension anbefaler vi, at du installerer hotfixet til 19.4.0.214_HF.5 som beskrevet i afsnittet Afhjælpning. Oplysninger om programrettelse kan findes på KB 194480.

Hvis du implementerer de løsningstrin, der er beskrevet i dette afsnit, og derefter opgraderer databeskyttelsesudvidelsen til en version, der ikke er afhjulpet, skal du implementere løsningstrinnene igen.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.