Urządzenia PowerProtect serii DP i IDPA: Apache Log4j CVE-2021-44228

Summary: Ten artykuł ma na celu przedstawienie zautomatyzowanego narzędzia do naprawy błędu CVE-2021-44228 Apache Log4j umożliwiającego zdalne wykonanie kodu przy użyciu narzędzia "LORD" (LOg4J Remediation for Dell) w urządzeniu PowerProtect serii DP i Integrated Data Protection Appliance (IDPA). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

DSA-2021-285: Aktualizacja zabezpieczeń urządzenia Dell Integrated Data Protection Appliance (seria PowerProtect DP) dotycząca luki w zabezpieczeniach Apache Log4j umożliwiającej zdalne wykonanie kodu (CVE-2021-44228).

Macierz wpływu

Zintegrowane
urządzenie ochrony danych Dell PowerProtect serii DP		 Wersja, której dotyczy problem?
Komponent v2.3.x v2.4.x v2.5 v2.6.x v2.7.0
vCenter (Hypervisor Manager) Tak Tak Tak Tak Tak
Data Domain (Protection Storage) Nie Nie Nie Nie Tak
Avamar (oprogramowanie do tworzenia kopii zapasowych serwera/ochrony) Nie Nie Nie Nie Nie
Data Protection Central (System Manager) Tak Tak Tak Tak Tak
Data Protection Search (wyszukiwanie) Tak Tak Tak Tak Tak
Odzyskiwanie po awarii chmury Nie Nie Nie Nie Tak
Appliance Configuration Manager (ACM) Nie Nie Nie Nie Tak
Doradca ds. ochrony danych (DPA/raportowanie i analiza) Tak Tak Tak Tak Tak

Trwałe rozwiązanie

Aktualizacja do urządzenia PowerProtect serii DP oraz IDPA do wersji 2.7.2

Uwaga: Urządzenie PowerProtect z serii DP i IDPA w wersji 2.7.2 korzysta z biblioteki Log4j 2.17.1 (w porównaniu z wersją 2.17 w urządzeniach PowerProtect z serii DP i IDPA w wersji 2.7.1), która zawiera bardziej zaawansowane poprawki.

Cel

To obejście polega na usunięciu problemu CVE-2021-44228 Apache Log4j umożliwiającego zdalne wykonanieKliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies. kodu przy użyciu narzędzia automatyzacji "LORD"(LOg4J Remediation for Dell) dla urządzeń PowerProtect serii DP i Integrated Data Protection Appliance (IDPA).

Obejrzyj ten film na temat uruchamiania narzędzia do automatyzacji "LORD":

Uwaga: Szacowany czas wykonania tych kroków może wynosić około 20 minut. Skontaktuj się z działem pomocy technicznej firmy Dell w dowolnym momencie, aby uzyskać dalszą pomoc.
Uwaga:
  • Ten artykuł bazy wiedzy firmy Dell zawiera obejście problemu dla wersji 2.3.x, 2.4.x, 2.5, 2.6.x i 2.7.0.
  • Nie należy używać tego artykułu bazy wiedzy dla innych wersji PowerProtect z serii DP lub IDPA.
  • Ten artykuł opisuje jedynie rozwiązanie dla CVE-2021-44228.
  • Inżynierowie firmy Dell opublikowali rozwiązanie PowerProtect DP Series-IDPA w wersji 2.7.1, które naprawia lukę CVE-2021-44228 we wszystkich elementach.
  • Jeśli użytkownik dokona aktualizacji do nieskorygowanej wersji urządzenia PowerProtect serii DP lub IDPA, należy ponownie zastosować kroki obejścia problemu.
  • Zaloguj się do Dell.com/support, aby wyświetlić załączone pliki i narzędzia.
  • Korygowanie składników Cloud DR nie jest obecnie dostępne w narzędziu do automatyzacji. Jeśli wdrożony jest element Cloud DR, skontaktuj się z działem pomocy technicznej firmy Dell, aby uzyskać pomoc w rozwiązaniu problemu.

Wpływ i ryzyko

Narzędzie to może wyłączyć protokoły http i https w oprogramowaniu Data Domain w wersji 2.7.0, aby zabezpieczyć ten system przed błędem CVE-2021-44228, wyłączając interfejs użytkownika. Więcej informacji znajduje się poniżej.

Nie ma to wpływu na działanie urządzenia. Cofnij zmiany w maszynie wirtualnej ACM przed uaktualnieniem urządzenia PowerProtect serii DP lub IDPA, aby uniknąć wpływu na aktualizacje.

Wymagania wstępne:

  • Pobierz najnowszą wersję narzędzia LORD z tego artykułu (załączono pliki).
  • Wyodrębnij plik .zip.

Uruchamianie narzędzia:

Witamy w narzędziu do instalowania poprawki CVE-2021-44228.

  • To narzędzie pomaga w aktualizacji luki CVE-2021-44228 dla kilku produktów firmy Dell, w tym między innymi IDPA, PPDM i NetWorker.
  • Kluczowa uwaga: Narzędzie automatyzuje czynności naprawcze dla wszystkich wewnętrznych komponentów.
  • Po wykonaniu procedur naprawczych i weryfikacji uruchomione zostaną działania kontrolne.
  • Porady firmy Apache dotyczące CVE-2021-45105 nadal ewoluują, a nowe luki w zabezpieczeniach są przypisywane nowym identyfikatorom referencyjnym CVE. Po wykryciu nowych CVE zespoły inżynierów firmy Dell Technologies wyjaśniają skutki i kroki naprawcze tam, gdzie to konieczne.
  • Gdy są one dostępne, narzędzie jest aktualizowane o te nowe kroki.

Czynności:

  1. Skopiuj narzędzie "lord_vX" do ACM do katalogu "/tmp" za pomocą oprogramowania do przesyłania plików, takiego jak WinSCP itp.

    Uwaga: Znak w nazwie pliku "X" oznacza wersjonowanie narzędzia LORD. Na przykład "lord_v7".

  2. Otwórz połączenie SSH z serwerem Appliance Configuration Manager (ACM) i zaloguj się jako użytkownik root.

    cd /tmp

  3. Uruchom następujące polecenie, aby nadać uprawnienia do wykonywania:

    chmod +x /tmp/lord_vX

  4. Uruchom następujące polecenie, aby uruchomić narzędzie LORD:

    ./tmp/lord_vX

  5. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    Przykładowe dane wyjściowe z menu głównego korygowania:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

Wybierz opcję #1, aby zastosować kroki korygujące do wszystkich składników.

Ważne: Podczas stosowania poprawki do Data Domain (Protection Storage) zostanie wyświetlony monit o wyłączenie protokołów http i https (dostępne tylko w IDPA w wersji 2.7.0).
  • Wybranie opcji "No" na razie pomija korygowanie Data Domain. Inną opcją jest zastosowanie minimalnego zakłócającego uaktualnienia (MDU) według bazy wiedzy: 194425 (do wyświetlenia tego artykułu wymagane jest konto Dell Support)
    Uwaga: Nie należy wykonywać aktualizacji kodu Data Domain Data Domain (Protection Storage). Dla urządzenia PowerProtect serii DP (IDPA) dozwolona jest tylko aktualizacja zakłócająca pracę w minimalnym stopniu (MDU)
  • Jeśli chcesz wyłączyć interfejs użytkownika, zgodnie z automatycznym przepływem pracy, możesz wybrać opcję „Yes” 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • Możesz również wybrać adres IP lub hosta, do którego chcesz ograniczyć dostęp: 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • Przykładowe dane wyjściowe: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

Po wykonaniu czynności zaradczych narzędzie LORD wyświetla ogólny przegląd stanu:

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Aktualizowanie definicji stanu:

  • ZAKOŃCZONE: Ten stan oznacza, że dany komponent był narażony na ataki, ale został zaktualizowany.
  • NOT_CONFIGURED_IN_IDPA: Ten stan oznacza, że dany komponent nie został wdrożony/skonfigurowany.
  • SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS: Ten stan oznacza, że dany składnik został pominięty, ponieważ nie jest podatny na lukę CVE-2021-44228, LUB CVE-2021-44228 nie wpływa na wersję tego odpowiedniego składnika lub odpowiedni składnik został już zaktualizowany.

Wskazówki dotyczące CVE-2021-45105

  • Weryfikacja po uruchomieniu na elemencie System Manager urządzenia PowerProtect z serii DP [DPC] wykazuje, że jest ono podatne na lukę CVE-2021-44228, ale biblioteka Log4j, której dotyczy problem, nie jest wymieniona ani załadowana w żadnej usłudze. W związku z tym jest to wynik fałszywie pozytywny i można go bezpiecznie zignorować.
  • Zespoły inżynierów pracują nad potwierdzeniem, czy CVE-2021-45105 wpływa na inne komponenty IDPA.
  • W takim przypadku środki zaradcze są udostępniane zgodnie z zasadami określonymi przez biuro zabezpieczeń firmy Dell Technologies.
  • Aby uzyskać informacje na temat CDRA, zapoznaj się z artykułem bazy wiedzy: Urządzenia PowerProtect serii DP i IDPA: Apache Log4j CVE-2021-44228

Element podrzędny: Odzyskiwanie po awarii chmury

Uwaga: Rozwiązanie Cloud Disaster Recovery (CDR) w urządzeniu PowerProtect z serii DP/IDPA w wersji 2.7.0 jest podatne na luki CVE-2021-44228 i CVE-2021-45046.
CDR w wersji 19.5 i starszych (IDPA w wersji 2.6 i starszych) nie są narażone na ataki, a ta sekcja artykułu bazy wiedzy nie ma zastosowania do klientów z tymi wersjami.

W przypadku CDRA — lokalna maszyna wirtualna

  1. Otwórz SSH do maszyny wirtualnej CDRA przy użyciu użytkownika cdr

  2. Utwórz cdra_log4jfix.sh w katalogu /tmp/ o następującej zawartości:

    • Uruchom następujące polecenie, aby utworzyć skrypt cdra_log4jfix.sh: 
      vi /tmp/cdra_log4jfix.sh
    • Naciśnij I na klawiaturze, aby przejść do trybu wstawiania, i skopiuj zawartość zgodnie z poniższym opisem.
    • Naciśnij ESC, a następnie :wq! , aby zapisać plik. 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. Uruchom następujące polecenia, aby uruchomić skrypt korygujący:

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

Dla CDRS — wdrożone w chmurze (AWS/AZURE/AWS GOV/AZURE GOV)
Otwórz zgłoszenie serwisowe w dziale pomocy technicznej firmy Dell i zapoznaj się z artykułem numer 000194520, aby zastosować poprawkę do CDRS (Cloud Disaster Recovery).

Ważne: Niektóre narzędzia skanujące poziom bezpieczeństwa, uruchamiane na DPC (System Manager) i CDR w urządzeniu PowerProtect serii DP (IDPA) pokazują, że jest on narażony na lukę CVE-2021-44228 nawet po czynnościach naprawczych, jednak podatna biblioteka Log4j nie jest wymieniona ani wczytana w żadnej usłudze. Stąd jest to fałszywy alarm.

Element podrzędny: Avamar Server (oprogramowanie do ochrony) i Data Protection Extension

  • Avamar Server (oprogramowanie do ochrony/serwer do tworzenia kopii zapasowych) nie jest narażony na lukę CVE-2021-44228 lub CVE-2021-45046. Te luki w zabezpieczeniach są specyficzne dla klasy Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.JNDI Lookup, która istnieje tylko w pliku jar log4j-core. Avamar Server nie instaluje pliku jar jog4j-core. Uaktualnienie do urządzenia PowerProtect serii DP (IDPA) w wersji 2.7.1 można przeprowadzić, jeśli klienci nadal chcą zaktualizować oprogramowanie log4j do wersji 2.16. Ta aktualizacja może zapobiec powiadomieniom o wynikach fałszywie pozytywnych przez narzędzia skanujące zabezpieczenia.
  • Rozszerzenie Cloud Director Data Protection (jeśli jest skonfigurowane) jest nadal narażone, a kroki obejścia wymienione w artykule z bazy wiedzy 194480 można zastosować do składników Data Protection Extension w wersji starszej niż 19.4.
  • Dla vCloud Director Data Protection Extension w wersji 19.4 zalecamy zastosowanie poprawki 19.4.0.214_HF.5 zgodnie z opisem w sekcji Korygowanie. Szczegółowe informacje o poprawkach można znaleźć w artykule KB 194480.

Jeśli zaimplementujesz kroki obejścia opisane w tej sekcji, a następnie uaktualnisz rozszerzenie ochrony danych do wersji nieskorygowanej, musisz ponownie zaimplementować kroki obejścia.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.