PowerProtect DP -sarjan laite ja IDPA: Apache Log4j CVE-2021-44228

Summary: Tässä artikkelissa esitellään automaattinen työkalu CVE-2021-44228 Apache Log4j -etäkoodin suorittamiseen LORD-työkalulla (LOg4J Remediation for Dell) PowerProtect DP -sarjan laitteissa ja IDPA:ssa (Integrated Data Protection Appliance). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

DSA-2021-285: Dellin integroitujen tietosuojalaitteiden (PowerProtect DP -sarja) tietoturvapäivitys liittyen Apache Log4j -etäkoodin suoritushaavoittuvuuteen (CVE-2021-44228).

Vaikutusmatriisi

Dell PowerProtect DP -sarjan laitteen
integroitu tietosuojalaite		 Vaikuttaako versio?
Osa 2.3.x 2.4.x 2.5 2.6.x 2.7.0
vCenter (hypervisorin hallintasovellus) Kyllä Kyllä Kyllä Kyllä Kyllä
Data Domain (Protection Storage) Ei Ei Ei Ei Kyllä
Avamar (Backup Server/suojausohjelmisto) Ei Ei Ei Ei Ei
Data Protection Central (System Manager) Kyllä Kyllä Kyllä Kyllä Kyllä
Data Protection Search (Search) Kyllä Kyllä Kyllä Kyllä Kyllä
Pilvipalvelujen vikatilanteiden hallinta (Cloud Disaster Recovery, CDR) Ei Ei Ei Ei Kyllä
Laitteen määritystenhallintasovellus (Appliance Configuration Manager, ACM) Ei Ei Ei Ei Kyllä
Data Protection Advisor (DPA/Reporting and Analytics) Kyllä Kyllä Kyllä Kyllä Kyllä

Pysyvä korjaus

Päivitä PowerProtect DP -sarjan laitteeseen ja IDPA-versioon 2.7.2

Huomautus: PowerProtect DP -sarjan laitteessa ja IDPA 2.7.2 -julkaisuversiossa on Log4j 2.17.1 -kirjasto (PowerProtect DP -sarjan laitteessa 2.17 ja IDPA-versiossa 2.7.1), joka sisältää kehittyneempiä korjauksia.

Tavoite

Tämä kiertotapa on korjata CVE-2021-44228:n Apache Log4j -etäkoodin suorittaminenTämä hyperlinkki johtaa Dell Technologiesin ulkopuoliseen sivustoon.LORD-automaatiotyökalulla(LOg4J Remediation Dellille) PowerProtect DP -sarjan laitteille ja IDPA:lle (Integrated Data Protection Appliance).

Katso tämä video LORD-automaatiotyökalun suorittamisesta:

Huomautus: Näiden vaiheiden arvioitu läpikäymiseen kuluva aika voi olla noin 20 minuuttia. Saat lisäapua milloin tahansa ottamalla yhteyttä Dellin tukeen.
Huomautus:
  • Tässä Dellin tietämyskannan artikkelissa on kiertotapa versioille 2.3.x, 2.4.x, 2.5, 2.6.x ja 2.7.0.
  • Tätä tietämyskannan artikkelia ei saa käyttää muuhun PowerProtect DP -sarjaan tai IDPA-versioon.
  • Tämä kiertotapa-artikkeli korjaa vain CVE-2021-44228:n.
  • Dell Engineering on julkaissut PowerProtect DP -sarjan IDPA-version 2.7.1, joka korjaa CVE-2021-44228:n korjauksen kaikissa osissa.
  • Jos käyttäjä päivittää PowerProtect DP -sarjan laitteen tai IDPA:n versioon, jota ei ole korjattu, kiertotavat on otettava käyttöön uudelleen.
  • Kirjautumalla osoitteeseen Dell.com/support näet liitteenä olevat tiedostot ja työkalut.
  • Cloud DR -komponenttien korjaus ei ole tällä hetkellä automaatiotyökalussa. Jos Cloud DR -komponentti otetaan käyttöön, ota yhteyttä Dellin tukeen.

Vaikutukset ja riskit

Tämä työkalu voi poistaa http:n ja https:n Data Domainin käytöstä versiossa 2.7.0 suojatakseen järjestelmän CVE-2021-44228:lta, mikä poistaa käytöstä käyttöliittymän. Katso lisätietoja alta.

Laitteeseen ei kohdistu toiminnallista vaikutusta. Kumoa ACM-virtuaalikoneessa ennen PowerProtect DP -sarjan laite- tai IDPA-päivityksiä tehdyt muutokset, jotta muutokset eivät vaikuta päivityksiin.

Edellytykset:

  • Lataa LORD-työkalun uusin versio tästä artikkelista (liitteenä olevat tiedostot).
  • Pura .zip-tiedosto.

Työkalun käyttö:

Tämä on CVE-2021-44228-korjaustyökalu.

  • Tämä apuohjelma auttaa päivittämään CVE-2021-44228 useille Dell-tuotteille, mukaan lukien IDPA, PPDM ja NetWorker.
  • Erityishuomautus: Työkalu automatisoi kaikkien sisäisten komponenttien korjausvaiheet.
  • Myös seuraavat korjaus- ja validointitarkistukset suoritetaan.
  • Apachelta saadaan jatkuvasti lisää CVE-2021-45105-ohjeita, ja uusille heikkouksille annetaan uudet CVE-viitetunnukset. Kun näitä uusia CVE:itä havaitaan, Dell Technologiesin suunnittelutiimit selventävät tarvittaessa niiden vaikutuksia ja korjaustoimia.
  • Kun ne ovat käytettävissä, tämä työkalu päivitetään sisältämään nämä uudet vaiheet.

Vaiheet:

  1. Kopioi lord_vX-työkalu ACM:ään /tmp-hakemistoon esimerkiksi WinSCP-tiedostonsiirto-ohjelmalla

    Huomautus: Tiedostonimessä "X" oleva merkki tarkoittaa LORD-työkalun versiointia. Esimerkiksi "lord_v7".

  2. Avaa SSH laitteen määritystenhallintasovelluksen (ACM) palvelimeen ja kirjaudu sisään pääkäyttäjänä.

    cd /tmp

  3. Hanki suoritusoikeudet suorittamalla seuraava komento:

    chmod +x /tmp/lord_vX

  4. Suorita seuraava komento suorittaaksesi LORD-työkalun:

    ./tmp/lord_vX

  5. Seuraa ohjeita.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    Esimerkkitulos korjauksen päävalikosta:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

Valitse vaihtoehto #1 korjausvaiheiden suorittamiseksi kaikkiin komponentteihin.

Tärkeää: Kun asennat korjausta Data Domainiin (Protection Storage), saat kehotteen poistaa http ja https käytöstä (vain IDPA-versiossa 2.7.0).
  • Jos valitset Ei, Data Domain -korjaus ohitetaan toistaiseksi. Toinen vaihtoehto on ottaa käyttöön tietämyskannan mukainen MDU (Minimum Disruptive Upgrade) -päivitys: 194425 (Tämän artikkelin lukemiseen tarvitaan Dellin tukitili)
    Huomautus: Älä suorita Data Domain (Protection Storage) -koodin päivitystä. PowerProtect DP-sarjan laitteille (IDPA) sallitaan vain Minimum Disruptive Upgrade (MDU) -päivitys.
  • Jos haluat poistaa käyttöliittymän käytöstä automatisoidun työnkulun mukaisesti, valitse Yes. 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • Voit myös valita, mihin IP-osoitteeseen tai isäntään haluat rajoittaa pääsyn: 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • Esimerkkitulos: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

Korjaustoimenpiteiden suorittamisen jälkeen LORD antaa yleistilaselvityksen:

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Päivitetään tilan määritystä:

  • VALMIS: Tämä tila tarkoittaa, että kyseinen komponentti oli haavoittuva ja että se on päivitetty.
  • NOT_CONFIGURED_IN_IDPA: Tämä tila tarkoittaa, että kyseistä komponenttia ei ole otettu käyttöön / määritetty.
  • SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS: Tämä tila tarkoittaa, että kyseinen komponentti ohitettiin, koska se ei ole altis CVE-2021-44228:lle TAI CVE-2021-44228 ei vaikuta kyseisen komponentin versioon, tai kyseinen komponentti on jo päivitetty.

Ohjeita koskien CVE-2021-45105:tä

  • PowerProtect DP Series Appliancen [DPC] System Manager -osan tarkistus osoittaa, että haavoittuvuus on haavoittuva CVE-2021-44228:lle, mutta Log4j-kirjastoa, johon ongelma vaikuttaa, ei mainita eikä sitä ladata missään palvelussa. Näin ollen tämä on virheellinen ilmoitus, ja se voidaan huoletta jättää huomiotta.
  • Tekniset tiimit tarkistavat parhaillaan, vaikuttaako CVE-2021-45105 muihin IDPA:n komponentteihin.
  • Jos näin on, korjaustoimet julkaistaan Dell Technologies Security Officen käytännön mukaisesti.
  • Lisätietoja CDRA:sta on artikkelissa KB: PowerProtect DP -sarjan laite ja IDPA: Apache Log4j CVE-2021-44228

Alikomponentti: Pilvipalvelujen vikatilanteiden hallinta (Cloud Disaster Recovery, CDR)

Huomautus: PowerProtect DP Series Appliancen/IDPA:n version 2.7.0 Cloud Disaster Recovery (CDR) on haavoittuvainen tällaisille haavoittuvuuksille CVE-2021-44228 ja CVE-2021-45046.
CDR-versio 19.5 ja sitä vanhemmat versiot (IDPA-versio 2.6 ja vanhemmat) eivät ole haavoittuvia, eikä tämä tietämyskannan artikkeli koske asiakkaita, joilla on kyseiset versiot.

CDRA - paikallinen virtuaalikone

  1. Avaa SSH-yhteys CDRA-virtuaalikoneeseen cdr-käyttäjänä

  2. Luo /tmp/-hakemistoon cdra_log4jfix.sh, jolla on seuraava sisältö:

    • Luo cdra_log4jfix.sh komentosarja suorittamalla seuraava komento: 
      vi /tmp/cdra_log4jfix.sh
    • Siirry Insert-tilaan painamalla näppäimistön I-näppäintä ja kopioi sisältö alla kuvatulla tavalla.
    • Paina ESC ja sitten :wq! tallentaaksesi tiedoston. 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. Suorita korjauskomentosarja suorittamalla seuraavat komennot:

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

CDRS – Käyttöönotto pilvipalvelussa (AWS/AZURE/AWS GOV/AZURE GOV)
Tee palvelupyyntö Dellin tukeen ja katso tästä artikkelista numero 000194520 jotta korjaus otetaan käyttöön CDRS:ssä (Cloud Disaster Recovery).

Tärkeää: Jotkin DPC:llä (System Manager) ja IDPA:n (PowerProtect DP -sarjan laitteiden) CDRA-komponentilla suoritetut tietoturvan tarkistustyökalut näyttävät, että se on haavoittuvainen CVE-2021-44228:lle myös korjauksen jälkeen, mutta Log4j-kirjastoa, johon tämä vaikuttaa, ei mainita eikä ladata mihinkään palveluun. Siksi tämä on väärä positiivinen.

Alikomponentti: Avamar-palvelin (suojausohjelmisto) ja tietosuojalaajennus

  • Avamar-palvelin (suojausohjelmisto/Backup Server) ei ole altis CVE-2021-44228:lle tai CVE-2021-45046:lle. Nämä haavoittuvuudet koskevat JNDI Lookup -luokkaaTämä hyperlinkki johtaa Dell Technologiesin ulkopuoliseen sivustoon. , joka on vain log4j-core-jar-tiedostossa. Avamar-palvelin ei asenna jog4j-core jar -tiedostoa. PowerProtect DP Series Appliance (IDPA) -laitteen versioon 2.7.1 voi päivittää, jos asiakas haluaa edelleen päivittää log4j-version versioon 2.16. Tämä päivitys voi estää turvatarkastustyökalujen virheellisiä ilmoituksia.
  • Cloud Director Data Protection Extension (jos määritetty) on edelleen haavoittuvainen. KB 194480 :ssä kuvatut kiertotoimet voidaan ottaa käyttöön versiota 19.4 edeltäviin Data Protection Extension -komponentteihin.
  • Cloud Director -tietosuojalaajennuksen version 19.4 osalta Dell suosittelee käyttämään 19.4.0.214_HF.5-pikakorjausta, joka on kuvattu kohdassa Korjaus. Korjaustiedoston tiedot ovat tietämyskannan artikkelissa 194480.

Jos otat käyttöön tässä osassa kuvatut kiertotavat ja päivität sitten tietosuojalaajennuksen versioon, jota ei ole korjattu, kiertotapa on suoritettava uudelleen.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.