PowerProtect DP Appliance-serien och IDPA: Apache Log4j CVE-2021-44228

Summary: Den här artikeln beskriver det automatiserade verktyget för att åtgärda CVE-2021-44228 fjärrkörning av kod i Apache Log4j med hjälp av verktyget "LORD" (LOg4J Remediation for Dell) i PowerProtect DP Series Appliance och Integrated Data Protection Appliance (IDPA). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

DSA-2021-285: Säkerhetsuppdatering för Dell Integrated Data Protection Appliance (PowerProtect DP-serien) för säkerhetsproblemet med fjärrkörning av kod Apache Log4j (CVE-2021-44228).

Matris för påverkan

Integrerad
dataskyddsenhet i Dell PowerProtect DP-serien		 Version påverkad?
Komponent v2.3.x v2.4.x v2.5 v2.6.x v2.7.0
vCenter (Hypervisor Manager) Ja Ja Ja Ja Ja
Data Domain (skyddslagring) Nej Nej Nej Nej Ja
Avamar (säkerhetskopieringsserver/skyddsprogram) Nej Nej Nej Nej Nej
Dataskyddscentral (systemhanterare) Ja Ja Ja Ja Ja
Data Protection Search (Sök) Ja Ja Ja Ja Ja
Cloud Disaster Recovery Nej Nej Nej Nej Ja
Konfigurationshanterare för enhet (ACM) Nej Nej Nej Nej Ja
Data Protection Advisor (DPA/rapportering och analys) Ja Ja Ja Ja Ja

Permanent korrigering

Uppgradera till PowerProtect DP Series Appliance och IDPA version 2.7.2

Obs! PowerProtect DP-seriens enhet och IDPA 2.7.2-versionen har Log4j 2.17.1-biblioteket (jämfört med 2.17 i PowerProtect DP-seriens enhet och IDPA version 2.7.1) som har mer avancerade korrigeringar.

Mål

Den här lösningen är att åtgärda CVE-2021-44228 fjärrkörning Den här hyperlänken tar dig till en webbplats utanför Dell Technologies. av kod i Apache Log4j med automatiseringsverktyget "LORD"(LOg4J Remediation for Dell) för PowerProtect DP Series Appliance och Integrated Data Protection Appliance (IDPA).

Titta på den här videon om hur du använder automatiseringsverktyget "LORD":

Obs! Den beräknade tiden för att gå igenom de här stegen kan vara cirka 20 minuter. Du kan när som helst kontakta Dells support för ytterligare hjälp.
Obs!
  • Den här artikeln i Dells kunskapsdatabas innehåller steg för att lösa problemet för versionerna 2.3.x, 2.4.x, 2.5, 2.6.x och 2.7.0.
  • Använd inte den här KB-artikeln för någon annan PowerProtect DP-serie eller IDPA-version.
  • Den här lösningsartikeln åtgärdar endast CVE-2021-44228.
  • Dell Engineering har släppt PowerProtect DP Series-IDPA version 2.7.1 som åtgärdar CVE-2021-44228 på alla komponenter.
  • Om en användare uppgraderar till en icke-åtgärdad version av PowerProtect DP Series-enheten eller IDPA måste lösningsstegen tillämpas på nytt.
  • Vara inloggad på Dell.com/support för att kunna se bifogade filer och verktyg.
  • Cloud DR-komponentreparation finns inte i automatiseringsverktyget just nu. Om en Cloud DR-komponent är installerad kontaktar du Dells support för att få hjälp med att lösa problemet.

Påverkan och risker

Det här verktyget kan inaktivera http och https på Data Domain i version 2.7.0 för att skydda systemet från CVE-2021-44228, vilket inaktiverar användargränssnittet. Se nedan för mer information.

Det finns ingen funktionell påverkan på apparaten. Ångra ändringar på ACM VM före PowerProtect DP Series Appliance eller IDPA-uppgraderingar för att undvika att uppgraderingar påverkas.

Förutsättningar:

  • Ladda ner den senaste versionen av HERR-verktyget från den här artikeln (bifogade filer).
  • Packa upp .zip-filen.

Köra verktyget:

Välkommen till CVE-2021-44228 korrigeringsverktyget.

  • Det här verktyget hjälper dig att uppdatera CVE-2021-44228 för flera Dell-produkter, inklusive men inte begränsat till IDPA, PPDM och NetWorker.
  • Särskild anmärkning: Verktyget automatiserar reparationssteg för alla interna komponenter.
  • Efter reparation och validering körs även kontroller.
  • Råd från Apache om CVE-2021-45105 fortsätter att utvecklas, med nya sårbarheter som tilldelas nya CVE-referens-ID:n. När de nya CVE:erna upptäcks klargör Dell Technologies teknikteam påverkans- och reparationssteg där det behövs.
  • När dessa är tillgängliga uppdateras det här verktyget för att inkludera dessa nya steg.

Steg:

  1. Kopiera verktyget "lord_vX" till ACM till katalogen "/tmp" med hjälp av filöverföringsprogram som WinSCP, och så vidare

    Obs! Ett tecken i filnamnet "X" betecknar versionshanteringen av HERREN-verktyget. Till exempel "lord_v7".

  2. Öppna SSH till Appliance Configuration Manager-servern (ACM) och logga in som rotanvändare.

    cd /tmp

  3. Kör följande kommando för att tillhandahålla körbara behörigheter:

    chmod +x /tmp/lord_vX

  4. Kör följande kommando för att köra HERREN-verktyget:

    ./tmp/lord_vX

  5. Följ anvisningarna.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    Exempel på utdata från huvudmenyn för reparation:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

Välj alternativ #1 för att tillämpa reparationssteg på alla komponenter.

Viktigt! När du tillämpar korrigeringen på Data Domain (skyddslagring) uppmanas du att inaktivera http och https (finns endast i IDPA version 2.7.0).
  • Om du väljer "Nej" hoppar du över Data Domain-reparationen för tillfället. Ett annat alternativ är att tillämpa MDU (Minimum Disruptive Upgrade) enligt kunskapsbasartikeln: 194425 (Du behöver ett Dell-supportkonto för att se den här artikeln)
    Obs! Uppgradera inte Data Domain-koden (skyddslagring). Endast Minimum Disruptive Upgrade (MDU) tillåts för PowerProtect DP Series Appliance (IDPA)
  • Om du vill inaktivera användargränssnittet, enligt det automatiserade arbetsflödet, kan du välja "Ja" 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • Du kan också välja vilken IP-adress eller värd du vill begränsa åtkomsten till: 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • Exempel på utdata: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

När åtgärdsstegen är utförda tillhandahåller LORD en övergripande statusgranskning:

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Uppdaterar statusdefinitionen:

  • FULLBORDAD: Den här statusen anger att den relevanta komponenten var sårbar och har uppdaterats.
  • NOT_CONFIGURED_IN_IDPA: Den här statusen anger att den relevanta komponenten inte har distribuerats/konfigurerats.
  • ÖVERHOPPAD/KRÄVS INTE/VERIFIERING SLUTFÖRD: Den här statusen anger att den relevanta komponenten hoppades över eftersom den inte är sårbar för CVE-2021-44228, ELLER att CVE-2021-44228 inte påverkar versionen av den relevanta komponenten, eller att den relevanta komponenten redan har uppdaterats.

Vägledning om CVE-2021-45105

  • Verifiering när den körs på System Manager-komponenten i PowerProtect DP Series Appliance[DPC] visar att den är sårbar för CVE-2021-44228, men det påverkade Log4j-biblioteket nämns inte och läses inte in i någon tjänst. Därför är detta en falsk positiv identifiering och kan ignoreras på ett säkert sätt.
  • Teknikteam arbetar med att bekräfta om andra komponenter i IDPA påverkas av CVE-2021-45105.
  • I så fall släpps åtgärdsstegen i enlighet med Dell Technologies Security Office-policy.
  • För CDRA, se KB: PowerProtect DP Appliance-serien och IDPA: Apache Log4j CVE-2021-44228

Delkomponenten: Cloud Disaster Recovery

Obs! Molnkatastrofåterställning (CDR) inom PowerProtect DP Series Appliance/IDPA version 2.7.0 är sårbar för denna CVE-2021-44228 och CVE-2021-45046.
CDR-version 19.5 och tidigare (IDPA-version 2.6 och tidigare) är inte sårbara och det här kunskapsbasartikelavsnittet gäller inte för kunder med dessa versioner.

För CDRA – virtuell dator på plats

  1. Öppna SSH till CDRA VM med cdr-användaren

  2. Skapa cdra_log4jfix.sh i katalogen /tmp/ med följande innehåll:

    • Kör följande kommando för att skapa det cdra_log4jfix.sh skriptet: 
      vi /tmp/cdra_log4jfix.sh
    • Tryck på I-tangenten på tangentbordet för att gå in i insättningsläge och kopiera innehållet enligt nedan.
    • Tryck på ESC och sedan på :wq! för att spara filen. 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. Kör följande kommandon för att utföra reparationsskriptet:

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

För CDRS – distribuerat i molnet (AWS/AZURE/AWS GOV/AZURE GOV)
Öppna en tjänstebegäran hos Dells support och läs artikelns nummer 000194520 hur du tillämpar korrigeringen på CDRS (Cloud Disaster Recovery).

Viktigt! Vissa säkerhetsgenomsökningsverktyg när de körs på DPC (System Manager) och CDRA-komponenten i PowerProtect DP Series Appliance (IDPA) visar att det är sårbart för CVE-2021-44228 även efter reparation, men det påverkade Log4j-biblioteket nämns inte eller läses inte in i någon tjänst. Därför är detta ett falskt positivt resultat.

Delkomponenten: Avamar Server (skyddsprogram) och dataskyddstillägg

  • Avamar Server (skyddsprogram/säkerhetskopieringsserver) är inte sårbar för CVE-2021-44228 eller CVE-2021-45046. Dessa säkerhetsproblem är specifika för JNDI Lookup-klassenDen här hyperlänken tar dig till en webbplats utanför Dell Technologies. som bara finns i jar-filen log4j-core. Avamar Server installerar inte jorg4j-core jar-filen. Uppgradering till PowerProtect DP Series Appliance (IDPA) version 2.7.1 kan utföras om kunderna fortfarande vill uppdatera versionen av log4j till 2.16. Den här uppdateringen kan förhindra falska positiva meddelanden från säkerhetsgenomsökningsverktyg.
  • Cloud Director Data Protection Extension (om det har konfigurerats) är fortfarande sårbart och de tillfälliga stegen som nämns i KB 194480 kan tillämpas på komponenter för dataskyddstillägg före version 19.4.
  • För 19.4 vCloud Director Data Protection Extension rekommenderar vi att du använder snabbkorrigeringen 19.4.0.214_HF.5 enligt beskrivningen i avsnittet Reparation. Information om korrigeringsfil finns i KB 194480.

Om du implementerar de lösningssteg som beskrivs i det här avsnittet och sedan uppgraderar dataskyddstillägget till en icke-åtgärdad version måste du implementera lösningsstegen igen.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.