Appliance der PowerProtect DP Serie und IDPA: Apache Log4j CVE-2021-44228
Summary: In diesem Artikel wird das automatisierte Tool zur Korrektur von CVE-2021-44228 Apache Log4j Remote Code Execution mit dem Tool "LORD" (LOg4J Remediation for Dell) in PowerProtect DP Series Appliance und Integrated Data Protection Appliance (IDPA) beschrieben. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
DSA-2021-285: Dell Integrated Data Protection Appliance (PowerProtect DP Serie) Sicherheitsupdate für die Sicherheitslücke bezüglich der Apache Log4j Remote Code Execution (CVE-2021-44228).
Auswirkungsmatrix
| Appliance der Dell PowerProtect DP Serie Integrated Data Protection Appliance |
Betroffene Version? | ||||
|---|---|---|---|---|---|
| Komponente | v2.3.x | v2.4.x | v2.5 | v2.6.x | v2.7.0 |
| vCenter (Hypervisor Manager) | Ja | Ja | Ja | Ja | Ja |
| Data Domain (Datenschutz-Storage) | Nein | Nein | Nein | Nein | Ja |
| Avamar (Backup-Server/Sicherheitssoftware) | Nein | Nein | Nein | Nein | Nein |
| Data Protection Central (System Manager) | Ja | Ja | Ja | Ja | Ja |
| Data Protection Search (Suche) | Ja | Ja | Ja | Ja | Ja |
| Cloud Disaster Recovery | Nein | Nein | Nein | Nein | Ja |
| Appliance Configuration Manager (ACM) | Nein | Nein | Nein | Nein | Ja |
| Data Protection Advisor (DPA/Reporting und Analysen) | Ja | Ja | Ja | Ja | Ja |
Dauerhafte Lösung
Upgrade auf Appliance der PowerProtect DP Serie und IDPA-Version 2.7.2
- Die Appliance der PowerProtect DP Serie und die IDPA-Version 2.7.2 sind auf der Dell Support-Website verfügbar.
Hinweis: Die Appliance der PowerProtect DP Serie und die IDPA-Version 2.7.2 verfügen über die Bibliothek Log4j 2.17.1 (im Vergleich zu 2.17 in der Appliance der PowerProtect DP Serie und IDPA-Version 2.7.1), die erweiterte Korrekturen aufweist.
Ziel
Dieser Workaround besteht darin, CVE-2021-44228 Apache Log4j Remote Code Execution
Sehen Sie sich dieses Video zur Ausführung des Automatisierungstools "LORD" an:
Hinweis: Die geschätzte Zeit für das Ausführen dieser Schritte kann ca. 20 Minuten betragen. Sie können sich jederzeit an den Dell Support wenden, um weitere Unterstützung zu erhalten.
Hinweis:
- Dieser Dell Wissensdatenbank-Artikel enthält Schritte zur Problemumgehung für die Versionen 2.3.x, 2.4.x, 2.5, 2.6.x und 2.7.0.
- Verwenden Sie diesen Wissensdatenbank-Artikel nicht für andere Versionen der PowerProtect DP Serie oder IDPA.
- Dieser Artikel zur Problemumgehung behebt nur CVE-2021-44228.
- Dell Engineering hat PowerProtect DP Series-IDPA Version 2.7.1 veröffentlicht, die CVE-2021-44228 auf allen Komponenten behebt.
- Wenn ein Nutzer ein Upgrade auf eine nicht korrigierte Version der PowerProtect DP Series Appliance oder IDPA durchführt, müssen die Schritte zur Problemumgehung erneut angewendet werden.
- Melden Sie sich bei Dell.com/support an, um die angehängten Dateien und Tools anzuzeigen.
- Die Korrektur der Cloud DR-Komponente ist derzeit nicht im Automatisierungstool enthalten. Wenn eine Cloud DR-Komponente bereitgestellt wird, wenden Sie sich an den Dell Support, um Unterstützung bei der Behebung zu erhalten.
Auswirkungen und Risiken
Dieses Tool kann http und https auf der Data Domain in Version 2.7.0 deaktivieren, um dieses System vor CVE-2021-44228 zu schützen, wodurch die Benutzeroberfläche deaktiviert wird. Weitere Informationen finden Sie weiter unten.
Es gibt keine funktionalen Auswirkungen auf die Appliance. Machen Sie Änderungen auf der ACM-VM vor PowerProtect DP Series Appliance- oder IDPA-Upgrades rückgängig, um Auswirkungen auf Upgrades zu vermeiden.
Voraussetzungen:
- Laden Sie die neueste Version des LORD-Tools von diesem Artikel (angehängte Dateien) herunter.
- Extrahieren Sie die ZIP-Datei.
Ausführen des Tools:
Willkommen beim Patching-Tool für CVE-2021-44228.
- Dieses Dienstprogramm unterstützt Sie bei der Aktualisierung von CVE-2021-44228 für verschiedene Dell Produkte, einschließlich, aber nicht beschränkt auf IDPA, PPDM und NetWorker.
- Hinweis: Das Tool automatisiert Korrekturmaßnahmen für alle internen Komponenten.
- Die folgenden Korrekturen und Validierungsprüfungen werden ebenfalls ausgeführt.
- Die Ratschläge von Apache bezüglich CVE-2021-45105 werden regelmäßig angepasst, da neuen Sicherheitslücken neue CVE-Referenz-IDs zugewiesen werden. Wenn diese neuen CVEs erkannt werden, klären die Engineering-Teams von Dell Technologies gegebenenfalls die Auswirkungen und Korrekturschritte.
- Wenn diese verfügbar sind, wird dieses Tool aktualisiert, um diese neuen Schritte einzuschließen.
Schritte:
-
Kopieren Sie das Tool "lord_vX" mithilfe von Dateiübertragungssoftware wie WinSCP usw. auf den ACM in das Verzeichnis "/tmp".
Hinweis: Ein Zeichen im Dateinamen "X" gibt die Versionierung des LORD-Tools an. Beispiel: "lord_v7." -
Öffnen Sie die SSH zum ACM-Server (Appliance Configuration Manager) und melden Sie sich als Benutzer root an.
cd /tmp
-
Führen Sie den folgenden Befehl aus, um ausführbare Berechtigungen bereitzustellen:
chmod +x /tmp/lord_vX
-
Führen Sie den folgenden Befehl aus, um das LORD-Tool auszuführen:
./tmp/lord_vX
-
Folgen Sie den Anweisungen.
acm5800:/tmp # ./tmp/lord_v9 sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh) 2021-12-23 20:54:22,399 [INFO] SESSION STARTED 2021-12-23 20:54:22,400 [INFO] Logging everything to : lord.log Session Start Time : 2021-12-23 20:54 ------------------------------------------------- ------------------------------------------------- PowerProtect CVE-2021-44228 Patcher 5.0 Developer : Pankaj Pande(p.pande@dell.com) Release : 21 Dec 2021 ------------------------------------------------- Welcome to CVE-2021-44228 Patching Tool. This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker. Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's. As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary. When these are available, this tool will be updated to include these new steps ------------------------------------------------- 2021-12-23 20:54:22,403 [INFO] Starting Build : 5.0 2021-12-23 20:54:22,403 [INFO] Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name Enter the ACM Password : Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :Beispielausgabe aus dem Haupt-Korrekturmenü:
2021-12-23 20:54:34,972 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:54:34,972 [INFO] /// Main Menu /// 2021-12-23 20:54:34,972 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:54:34,972 [INFO] ------------------------------------------------- Select how would you like to proceed : 1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components] 2) Apply workaround for vCenter 3) Apply workaround for Data Domain 4) Apply workaround for Avamar 5) Apply workaround for DPSearch 6) Apply workaround for ACM 7) Apply workaround for DPC 9) Exit the Program Enter your choice number :
Wählen Sie Option #1 aus, um Korrekturschritte auf alle Komponenten anzuwenden.
Wichtig: Wenn Sie die Korrektur auf Data Domain (Datenschutzspeicher) anwenden, werden Sie aufgefordert, HTTP und HTTPS zu deaktivieren (nur in IDPA-Version 2.7.0 enthalten).
- Wenn Sie "Nein" auswählen, wird die Data Domain-Korrektur vorerst übersprungen. Eine weitere Option ist die Anwendung des Minimum Disruptive Upgrade (MDU) gemäß Wissensdatenbank-Artikel: 194425 (Zum Anzeigen dieses Artikels ist ein Dell Supportkonto erforderlich.)
Hinweis: Führen Sie kein Data Domain-Codeupgrade (Datenschutzspeicher) durch. Für die Appliance der PowerProtect DP Serie (IDPA) ist nur ein MDU (Minimum Disruptive Upgrade) zulässig.
- Wenn Sie die Benutzeroberfläche entsprechend dem automatisierten Workflow deaktivieren möchten, können Sie „Ja“ auswählen.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
- Sie können auch auswählen, auf welche IP-Adresse oder welchen Host Sie den Zugriff beschränken möchten:
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y Would you like to disable the UI completely? Enter 'y' or 'n':n 2021-12-23 21:15:48,365 [INFO] Disabling GUI http and https access - User based Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
- Beispielausgabe:
2021-12-23 20:58:56,722 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:58:56,722 [INFO] // Performing Data Domain Patching // 2021-12-23 20:58:56,722 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:58:56,722 [INFO] ------------------------------------------------------ 2021-12-23 20:58:56,722 [INFO] Working on Data Domain Host : 10.60.9.51 for patching 2021-12-23 20:58:56,722 [INFO] ------------------------------------------------------ 2021-12-23 20:58:57,266 [INFO] Found DD version as : 7.6.0.20-689174 2021-12-23 20:58:57,266 [INFO] This version of Data Domain patching involves disabling the UI. Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y Would you like to disable the UI completely? Enter 'y' or 'n':y 2021-12-23 21:02:04,087 [INFO] Disabling GUI http and https access - Completely 2021-12-23 21:02:05,919 [INFO] HTTP Access: disabled 2021-12-23 21:02:05,920 [INFO] GUI http access has been disabled 2021-12-23 21:02:08,507 [INFO] HTTPS Access: disabled 2021-12-23 21:02:08,507 [INFO] GUI https access has been disabled 2021-12-23 21:02:08,509 [INFO] Data Domain patching completed
Sobald die Abhilfemaßnahmen abgeschlossen sind, führt LORD eine Gesamtstatusprüfung durch:
2021-12-23 21:03:23,782 [INFO] /////////////////////////////////////////////////////// 2021-12-23 21:03:23,782 [INFO] // OVERALL STATUS // 2021-12-23 21:03:23,782 [INFO] /////////////////////////////////////////////////////// 2021-12-23 21:03:23,782 [INFO] OVERALL STATUS +---------------------+-------------------------------------------+ | Product | Patching Status | +---------------------+-------------------------------------------+ | Data Domain | COMPLETED | | ACM | COMPLETED | | DPSearch_X.X.X.X | COMPLETED | | DPCentral | COMPLETED | | DPA | NOT_CONFIGURED_IN_IDPA | | Avamar | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS | | vCenter | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS | +---------------------+-------------------------------------------+
Statusdefinition wird aktualisiert:
- ABGESCHLOSSEN: Dieser Status gibt an, dass die betreffende Komponente anfällig war und aktualisiert wurde.
- NICHT_IN_IDPA KONFIGURIERT: Dieser Status gibt an, dass die relevante Komponente nicht bereitgestellt/konfiguriert ist.
- ÜBERSPRUNGEN/NICHT ERFORDERLICH/ÜBERPRÜFUNG ERFOLGREICH: Dieser Status gibt an, dass die relevante Komponente übersprungen wurde, da sie nicht anfällig für CVE-2021-44228 ist, ODER CVE-2021-44228 keine Auswirkungen auf die Version dieser relevanten Komponente hat oder die relevante Komponente bereits aktualisiert wurde.
Anleitung zu CVE-2021-45105
- Die Überprüfung bei Ausführung auf der System Manager-Komponente der PowerProtect DP Series Appliance[DPC] zeigt, dass sie anfällig für CVE-2021-44228 ist, aber die betroffene Log4j-Bibliothek wird in keinem Service erwähnt oder geladen. Daher handelt es sich um ein falsch positives Ergebnis, das gefahrlos ignoriert werden kann.
- Engineering-Teams arbeiten daran, zu überprüfen, ob andere Komponenten in der IDPA von CVE-2021-45105 betroffen sind.
- Wenn dies der Fall ist, werden Korrekturschritte in Übereinstimmung mit der Dell Technologies Security Office-Richtlinie veröffentlicht.
- Informationen zu CDRA finden Sie im Wissensdatenbank-Artikel: Appliance der PowerProtect DP Serie und IDPA: Apache Log4j CVE-2021-44228
Unterkomponente: Cloud Disaster Recovery
Hinweis: Cloud Disaster Recovery (CDR) in PowerProtect DP Series Appliance/IDPA Version 2.7.0 ist anfällig für dieses Problem CVE-2021-44228 und CVE-2021-45046.
CDR-Versionen 19.5 und niedriger (IDPA-Versionen 2.6 und niedriger) sind nicht anfällig und dieser Abschnitt des Wissensdatenbank-Artikels gilt nicht für Kunden mit diesen Versionen.
CDR-Versionen 19.5 und niedriger (IDPA-Versionen 2.6 und niedriger) sind nicht anfällig und dieser Abschnitt des Wissensdatenbank-Artikels gilt nicht für Kunden mit diesen Versionen.
Für CDRA – lokale virtuelle Maschine
-
Öffnen Sie eine SSH-Verbindung zur CDRA-VM mithilfe des cdr-Nutzers .
-
Erstellen Sie cdra_log4jfix.sh im Verzeichnis /tmp/ mit folgendem Inhalt:
- Führen Sie den folgenden Befehl aus, um das cdra_log4jfix.sh Skript zu erstellen:
vi /tmp/cdra_log4jfix.sh
- Drücken Sie die Taste I auf der Tastatur, um in den Einfügemodus zu wechseln, und kopieren Sie den Inhalt wie unten angegeben.
- Drücken Sie ESC, dann :wq! , um die Datei zu speichern.
#! /bin/sh cdr_backup() { mkdir -p /tmp/cdr_backup cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak } update_executable() { echo "Updating CDRA executable." sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable } update_restore_vm() { echo "Updating restore_vm.jar." cd /home/cdr/cdra/resources/restore zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class } update_cdra_main() { echo "Updating cdra_main.jar." LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar echo "Stopping CDR service." sudo service cdra stop cd /home/cdr/cdra/lib/ mkdir -p BOOT-INF/lib unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION rm -rf BOOT-INF echo "Starting CDR service. This may take a few minutes." sudo service cdra start for i in {1..10} do sleep 30 echo "Checking CDR service status..." RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json") if [[ "$RESP_CODE" == 200 ]]; then echo "CDR service started successfully." return 0 fi done echo "Failed to run CDR service. Please contact Dell Support." exit 1 } main() { CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k) echo "CDR version is : $CDR_VER" if [[ $CDR_VER =~ 19\.[6-9] ]]; then cdr_backup update_executable update_restore_vm update_cdra_main else echo "log4j workaround is required only for CDR versions between 19.6 and 19.9." exit 0 fi rm -rf /tmp/cdr_backup } main
- Führen Sie den folgenden Befehl aus, um das cdra_log4jfix.sh Skript zu erstellen:
-
Führen Sie die folgenden Befehle aus, um das Korrekturskript auszuführen:
dos2unix /tmp/cdra_log4jfix.sh
chmod +x /tmp/cdra_log4jfix.sh
sudo /tmp/cdra_log4jfix.sh
Für CDRS – Bereitstellung in der Cloud (AWS/AZURE/AWS GOV/AZURE GOV)
Öffnen Sie einen Service-Request beim Dell Support und lesen Sie diesen Artikel Nummer 000194520, um die Korrektur auf CDRS (Cloud Disaster Recovery) anzuwenden.
Wichtig: Einige Sicherheitsscan-Tools, die auf DPC (System Manager) und der CDRA-Komponente der Appliance der PowerProtect DP Serie (IDPA) ausgeführt werden, zeigen, dass sie auch nach der Korrektur anfällig für CVE-2021-44228 ist, die betroffene Log4j-Bibliothek jedoch in keinem Dienst erwähnt oder geladen wird. Daher handelt es sich um ein falsch positives Ergebnis.
Unterkomponente: Avamar Server (Schutzsoftware) und Data Protection Extension
- Avamar Server (Schutzsoftware/Backup-Server) ist nicht anfällig für CVE-2021-44228 oder CVE-2021-45046. Diese Sicherheitslücken sind spezifisch für die JNDI-Lookup-Klasse
- Die Cloud Director Data Protection Extension (falls konfiguriert) ist immer noch anfällig und die in KB 194480 genannten Workaroundschritte können auf Data-Protection-Extension-Komponenten vor Version 19.4 angewendet werden.
- Für vCloud Director Data Protection Extension Version 19.4 empfehlen wir die Anwendung des Hotfixes 19.4.0.214_HF.5, wie im Abschnitt „Korrektur“ beschrieben. Details zum Patch finden Sie im Wissensdatenbank-Artikel 194480.
Wenn Sie die in diesem Abschnitt beschriebenen Workaround-Schritte implementieren und dann die Data-Protection-Erweiterung auf eine nicht korrigierte Version aktualisieren, müssen Sie die Workaround-Schritte erneut implementieren.
Affected Products
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version: 40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.