Dispositivo PowerProtect serie DP e IDPA: Apache Log4j CVE-2021-44228

Summary: En este artículo, se describe la herramienta automatizada para corregir la ejecución remota de código CVE-2021-44228 Apache Log4j mediante la herramienta "LORD" (corrección LOg4J para Dell) en PowerProtect DP Series Appliance e Integrated Data Protection Appliance (IDPA). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

DSA-2021-285: Actualización de seguridad de Dell Integrated Data Protection Appliance (PowerProtect DP Series) para la vulnerabilidad de ejecución remota de código Apache Log4j (CVE-2021-44228).

Matriz de impacto

Dispositivo de protección de datos integrado Dell PowerProtect DP Series Appliance
 ¿Se aplicó la versión?
Componente v2.3.x v2.4.x v2.5 v2.6.x v2.7.0
vCenter (administrador de hipervisor)
Data Domain (almacenamiento con protección) No No No No
Avamar (servidor de respaldo/software de protección) No No No No No
Data Protection Central (administrador de sistema)
Data Protection Search (búsqueda)
Recuperación ante desastres en la nube No No No No
Appliance Configuration Manager (ACM) No No No No
Data Protection Advisor (DPA/generación de informes y análisis)

Corrección permanente

Actualice a la versión 2.7.2 de IDPA y el dispositivo PowerProtect serie DP

  • El dispositivo PowerProtect serie DP y la versión 2.7.2 de IDPA están disponibles en el sitio de soporte de Dell.
Nota: El dispositivo PowerProtect serie DP y la versión 2.7.2 de IDPA tienen la biblioteca Log4j 2.17.1 (en comparación con la versión 2.17 en el dispositivo PowerProtect serie DP y la versión 2.7.1 de IDPA), la cual tiene correcciones más avanzadas.

Meta

Esta solución alternativa es para corregir CVE-2021-44228 Ejecución remota de código Apache Log4jEste hipervínculo lo redirige a un sitio web fuera de Dell Technologies. mediante la herramienta de automatización "LORD"(corrección LOg4J para Dell) para PowerProtect DP Series Appliance e Integrated Data Protection Appliance (IDPA).

Vea este video sobre la ejecución de la herramienta de automatización "LORD":

Nota: El tiempo estimado para ejecutar estos pasos puede ser de aproximadamente 20 minutos. Comuníquese con el soporte de Dell en cualquier momento para obtener más ayuda.
Nota:
  • Este artículo de la base de conocimientos de Dell contiene pasos de corrección de soluciones alternativas para las versiones 2.3.x, 2.4.x, 2.5, 2.6.x y 2.7.0.
  • No utilice este artículo de la base de conocimientos para ninguna otra versión de IDPA ni de PowerProtect serie DP.
  • En este artículo de solución alternativa, solo se corrige CVE-2021-44228.
  • El equipo de ingeniería de Dell lanzó la versión 2.7.1 de PowerProtect DP Series-IDPA que corrige CVE-2021-44228 en todos los componentes.
  • Si un usuario actualiza a una versión no corregida del dispositivo PowerProtect serie DP o IDPA, se deben volver a aplicar los pasos de la solución alternativa.
  • Inicie sesión en Dell.com/support para ver los archivos y las herramientas adjuntos.
  • La corrección del componente de Cloud DR no está en la herramienta de automatización en este momento. Si se implementa un componente de Cloud DR, comuníquese con el soporte de Dell para obtener ayuda para resolverlo.

Impacto y riesgos

Esta herramienta puede deshabilitar http y https en Data Domain en la versión 2.7.0 para proteger ese sistema de CVE-2021-44228, lo que deshabilita la interfaz de usuario. Consulte a continuación para obtener más información.

No hay ningún impacto funcional en el dispositivo. Deshaga los cambios en la VM de ACM antes de las actualizaciones de PowerProtect DP Series Appliance o IDPA para evitar cualquier impacto en las actualizaciones.

Requisitos previos:

  • Descargue la versión más reciente de la herramienta LORD en este artículo (archivos adjuntos).
  • Extraiga el archivo .zip.

Ejecución de la herramienta:

Bienvenido a la herramienta de aplicación de parches CVE-2021-44228.

  • Esta utilidad lo ayuda a actualizar CVE-2021-44228 para varios productos Dell, incluidos, entre otros, IDPA, PPDM y NetWorker.
  • Nota especial: La herramienta automatiza los pasos de corrección de todos los componentes internos.
  • También se ejecutan las siguientes comprobaciones de corrección y validación.
  • El asesoramiento de Apache con respecto a CVE-2021-45105 continúa evolucionando, con nuevas vulnerabilidades a las que se asignan nuevos ID de referencia de CVE. A medida que se descubren estas nuevas CVE, los equipos de ingeniería de Dell Technologies aclaran el impacto y los pasos de corrección cuando es necesario.
  • Cuando están disponibles, esta herramienta se actualiza para incluir estos nuevos pasos.

Pasos:

  1. Copie la herramienta "lord_vX" en ACM en el directorio "/tmp" mediante un software de transferencia de archivos como WinSCP, etc

    Nota: Un carácter en el nombre de archivo "X" indica la creación de versiones de la herramienta LORD. Por ejemplo, "lord_v7".

  2. Abra SSH en el servidor Appliance Configuration Manager (ACM) e inicie sesión como usuario "raíz".

    cd /tmp

  3. Ejecute el siguiente comando para proporcionar permisos ejecutables:

    chmod +x /tmp/lord_vX

  4. Ejecute el siguiente comando para ejecutar la herramienta LORD:

    ./tmp/lord_vX

  5. Siga las indicaciones.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    Ejemplo de resultado del menú principal de corrección:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

Seleccione la opción #1 para aplicar los pasos de corrección en todos los componentes.

Importante: Cuando se aplica la corrección a Data Domain (almacenamiento con protección), se le solicita que deshabilite http y https (solo se encuentran en IDPA versión 2.7.0).
  • Si selecciona "No", se omite la corrección de Data Domain por ahora. Otra opción es aplicar la actualización disruptiva mínima (MDU) según KB : 194425 (se requiere una cuenta de soporte de Dell para ver este artículo)
    Nota: No realice la actualización del código de Data Domain (almacenamiento con protección). Solo se permite realizar la actualización disruptiva mínima (MDU) para el dispositivo PowerProtect serie DP (IDPA)
  • Si desea deshabilitar la interfaz de usuario, según el flujo de trabajo automatizado, puede seleccionar "Yes" 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • También puede optar por seleccionar la dirección IP o el host al que desea limitar el acceso: 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • Resultado de muestra: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

Una vez que se realizan los pasos de corrección, LORD proporciona una revisión del estado general:

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Actualización de la definición del estado:

  • COMPLETADO: Este estado denota que el componente relevante era vulnerable y se actualizó.
  • NOT_CONFIGURED_IN_IDPA: Este estado indica que el componente pertinente no está implementado/configurado.
  • SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS: Este estado indica que el componente pertinente se omitió porque no es vulnerable a CVE-2021-44228, O CVE-2021-44228 no afecta a la versión de ese componente pertinente, o el componente pertinente ya se actualizó.

Orientación sobre CVE-2021-45105

  • La verificación, cuando se ejecuta en el componente System Manager de PowerProtect DP Series Appliance[DPC], muestra que es vulnerable para CVE-2021-44228, pero la biblioteca Log4j afectada no se menciona ni se carga en ningún servicio. Por lo tanto, este es un falso positivo y se puede ignorar de manera segura.
  • Los equipos de ingeniería están trabajando para confirmar si otros componentes del IDPA se ven afectados por CVE-2021-45105.
  • Si es así, los pasos de corrección se publican de acuerdo con la política de la Oficina de Seguridad de Dell Technologies.
  • Para CDRA, consulte la base de conocimientos: Dispositivo PowerProtect serie DP e IDPA: Apache Log4j CVE-2021-44228

Subcomponente: Recuperación ante desastres en la nube

Nota: La recuperación ante desastres en la nube (CDR) dentro de PowerProtect DP Series Appliance/IDPA versión 2.7.0 es vulnerable a CVE-2021-44228 y CVE-2021-45046.
Las versiones 19.5 y anteriores de CDR (IDPA versiones 2.6 y anteriores) no son vulnerables y esta sección del artículo de la base de conocimientos no se aplica a los clientes en esas versiones.

Para CDRA: máquina virtual en las instalaciones

  1. Abra SSH en la VM de CDRA mediante el usuario cdr

  2. Cree cdra_log4jfix.sh en el directorio /tmp/ con el siguiente contenido:

    • Ejecute el siguiente comando para crear el cdra_log4jfix.sh script: 
      vi /tmp/cdra_log4jfix.sh
    • Presione la tecla I en el teclado para ingresar al modo de inserción y copie el contenido como se muestra a continuación.
    • Presione ESC, luego :wq! para guardar el archivo. 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. Ejecute los siguientes comandos para ejecutar el script de corrección:

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

Para CDRS: implementado en la nube (AWS/AZURE/AWS GOV/AZURE GOV)
Abra una solicitud de servicio con el soporte de Dell y consulte este artículo número 000194520 para aplicar la corrección a CDRS (Cloud Disaster Recovery).

Importante: Algunas herramientas de análisis de seguridad, cuando se ejecutan en el componente DPC (System Manager) y CDRA del dispositivo PowerProtect serie DP (IDPA), muestran que es vulnerable a CVE-2021-44228, incluso después de realizar la corrección, pero la biblioteca Log4j afectada no se menciona ni se carga en ningún servicio. Por lo tanto, se trata de un falso positivo.

Subcomponente: Avamar Server (software de protección) y extensión de protección de datos

  • Avamar Server (software de protección/servidor de respaldo) no es vulnerable a CVE-2021-44228 ni CVE-2021-45046. Estas vulnerabilidades son específicas de la clase Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.JNDI Lookup que solo existe en el archivo jar log4j-core. El servidor Avamar no instala el archivo jar jog4j-core. La actualización a la versión 2.7.1 de PowerProtect DP Series Appliance (IDPA) se puede realizar si los clientes aún desean actualizar la versión de log4j a 2.16. Con esta actualización, se puede evitar recibir notificaciones de falsos positivos por parte de las herramientas de análisis de seguridad.
  • Cloud Director Data Protection Extension (si está configurado) sigue siendo vulnerable y los pasos de solución alternativa mencionados en KB 194480 se pueden aplicar a componentes de Data Protection Extension anteriores a la versión 19.4.
  • En el caso de la extensión de protección de datos de vCloud Director 19.4, se recomienda aplicar la revisión de 19.4.0.214_HF.5, como se describe en la sección Corrección. Los detalles del parche se pueden encontrar en KB 194480.

Si implementa los pasos de la solución alternativa que se describen en esta sección y, a continuación, actualiza la extensión de protección de datos a una versión no corregida, debe volver a implementar los pasos de la solución alternativa.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.