PowerProtect DP serie apparaat en IDPA: Apache Log4j CVE-2021-44228
Summary: Dit artikel beschrijft de geautomatiseerde tool voor het herstellen van CVE-2021-44228 Apache Log4j Remote Code Execution using "LORD" tool (LOg4J Remediation for Dell) in PowerProtect DP Series Appliance en Integrated Data Protection Appliance (IDPA). ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
DSA-2021-285: Dell Integrated Data Protection Appliance (PowerProtect DP serie) beveiligingsupdate voor het Apache Log4j beveiligingslek met betrekking tot uitvoering van externe code (CVE-2021-44228).
Impact Matrix
| Dell PowerProtect DP serie apparaat, Integrated Data Protection Appliance |
Versie uitgevoerd? | ||||
|---|---|---|---|---|---|
| Component | v2.3.x | v2.4.x | v2.5 | v2.6.x | v2.7.0 |
| vCenter (Hypervisor Manager) | Ja | Ja | Ja | Ja | Ja |
| Data Domain (bescherming van storage) | Nee | Nee | Nee | Nee | Ja |
| Avamar (back-upserver/beschermingssoftware) | Nee | Nee | Nee | Nee | Nee |
| Data Protection Central (System Manager) | Ja | Ja | Ja | Ja | Ja |
| Data Protection Search (Search) | Ja | Ja | Ja | Ja | Ja |
| Noodherstel via de cloud | Nee | Nee | Nee | Nee | Ja |
| Appliance Configuration Manager (ACM) | Nee | Nee | Nee | Nee | Ja |
| Data Protection Advisor (DPA/Reporting & Analytics) | Ja | Ja | Ja | Ja | Ja |
Permanente oplossing
Upgrade naar PowerProtect DP serie apparaat en IDPA versie 2.7.2
- PowerProtect DP serie apparaat en IDPA versie 2.7.2 release zijn beschikbaar op de Dell Support website.
Opmerking: PowerProtect DP serie apparaat en IDPA 2.7.2 release hebben de Log4j 2.17.1 bibliotheek (vs. 2.17 in PowerProtect DP serie apparaat en IDPA versie 2.7.1) die meer geavanceerde oplossingen heeft.
Doel
Deze tijdelijke oplossing is het oplossen van CVE-2021-44228 Apache Log4j Remote Code Execution
Bekijk deze video over de uitvoering van de automatiseringstool "LORD":
Opmerking: De geschatte tijd om deze stappen uit te voeren kan ongeveer 20 minuten zijn. Neem op elk gewenst moment contact op met Dell Support voor verdere hulp.
Opmerking:
- Dit Dell Knowledge Base-artikel bevat tijdelijke oplossingen voor herstel voor versies 2.3.x, 2.4.x, 2.5, 2.6.x en 2.7.0.
- Gebruik dit KB-artikel niet voor een andere PowerProtect DP serie of IDPA versie.
- Dit tijdelijke oplossingsartikel lost alleen CVE-2021-44228 op.
- Dell Engineering heeft PowerProtect DP Series-IDPA versie 2.7.1 uitgebracht die CVE-2021-44228 op alle componenten oplost.
- Als een gebruiker een upgrade uitvoert naar een niet-herstelde versie van PowerProtect DP serie apparaat of IDPA, moeten de tijdelijke stappen opnieuw worden toegepast.
- Ingelogd zijn op Dell.com/support om de bijgevoegde bestanden en tools te zien.
- Cloud DR-onderdeel Herstel is op dit moment niet aanwezig in de automatiseringstool. Als een Cloud DR-onderdeel is geïmplementeerd, neemt u contact op met Dell Support voor hulp bij het oplossen van problemen.
Impact en risico's
Deze tool kan http en https uitschakelen op het Data Domain in versie 2.7.0 om dat systeem te beveiligen van CVE-2021-44228, waardoor de gebruikersinterface wordt uitgeschakeld. Zie hieronder voor meer informatie.
Er is geen functionele invloed op het apparaat. Maak wijzigingen ongedaan op ACM VM vóór upgrades van PowerProtect DP Series Appliance of IDPA om gevolgen voor upgrades te voorkomen.
Vereisten:
- Download de nieuwste versie van LORD tool uit dit artikel (bijgevoegde bestanden).
- Pak het gedownloade .zipbestand uit.
De tool uitvoeren:
Welkom bij CVE-2021-44228 patchingtool.
- Dit hulpprogramma helpt u bij het bijwerken van CVE-2021-44228 voor verschillende Dell producten, inclusief maar niet beperkt tot IDPA, PPDM en NetWorker.
- Speciale opmerking: De tool automatiseert herstelstappen voor alle interne componenten.
- De volgende herstel- en validatiecontroles worden ook uitgevoerd.
- Het advies van Apache met betrekking tot CVE-2021-45105 blijft evolueren, waarbij nieuwe beveiligingslekken nieuwe CVE-referentie-ID's toegewezen krijgen. Wanneer deze nieuwe CVE's worden ontdekt, verduidelijken de engineeringteams van Dell Technologies waar nodig de impact en herstelstappen.
- Wanneer deze beschikbaar zijn, wordt deze tool bijgewerkt met deze nieuwe stappen.
Stappen:
-
Kopieer de tool "lord_vX" naar de ACM naar de map "/tmp" met behulp van software voor bestandsoverdracht, zoals WinSCP, enzovoort
Opmerking: Een teken in de bestandsnaam "X" geeft het versiebeheer van de LORD-tool aan. Bijvoorbeeld: 'lord_v7'. -
Open SSH bij de ACM-server (Appliance Configuration Manager) en meld u aan als rootgebruiker.
cd /tmp
-
Voer de volgende opdracht uit om uitvoerbare machtigingen te bieden:
chmod +x /tmp/lord_vX
-
Voer de volgende opdracht uit om de LORD-tool uit te voeren:
./tmp/lord_vX
-
Volg de aanwijzingen op het scherm.
acm5800:/tmp # ./tmp/lord_v9 sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh) 2021-12-23 20:54:22,399 [INFO] SESSION STARTED 2021-12-23 20:54:22,400 [INFO] Logging everything to : lord.log Session Start Time : 2021-12-23 20:54 ------------------------------------------------- ------------------------------------------------- PowerProtect CVE-2021-44228 Patcher 5.0 Developer : Pankaj Pande(p.pande@dell.com) Release : 21 Dec 2021 ------------------------------------------------- Welcome to CVE-2021-44228 Patching Tool. This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker. Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's. As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary. When these are available, this tool will be updated to include these new steps ------------------------------------------------- 2021-12-23 20:54:22,403 [INFO] Starting Build : 5.0 2021-12-23 20:54:22,403 [INFO] Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name Enter the ACM Password : Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :Voorbeelduitvoer uit het hoofdmenu van de sanering:
2021-12-23 20:54:34,972 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:54:34,972 [INFO] /// Main Menu /// 2021-12-23 20:54:34,972 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:54:34,972 [INFO] ------------------------------------------------- Select how would you like to proceed : 1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components] 2) Apply workaround for vCenter 3) Apply workaround for Data Domain 4) Apply workaround for Avamar 5) Apply workaround for DPSearch 6) Apply workaround for ACM 7) Apply workaround for DPC 9) Exit the Program Enter your choice number :
Selecteer optie #1 om herstelstappen toe te passen op alle componenten.
Belangrijk: Wanneer u de oplossing toepast op Data Domain (Protection Storage), wordt u gevraagd om http en https uit te schakelen (alleen te vinden in IDPA versie 2.7.0).
- Als u Nee selecteert, wordt Data Domain-herstel voorlopig overgeslagen. Een andere optie is om de Minimum Disruptive Upgrade (MDU) toe te passen volgens KB: 194425 (U moet een Dell Support-account hebben om dit artikel te lezen)
Opmerking: Voer geen Data Domain (Protection Storage) code-upgrade uit. Alleen Minimum Disruptive Upgrade (MDU) is toegestaan voor PowerProtect DP Series Appliance (IDPA)
- Als u de gebruikersinterface volgens de geautomatiseerde workflow wilt uitschakelen, kunt u "Ja" selecteren
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
- U kunt er ook voor kiezen om te selecteren tot welk IP-adres of welke host u de toegang wilt beperken:
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y Would you like to disable the UI completely? Enter 'y' or 'n':n 2021-12-23 21:15:48,365 [INFO] Disabling GUI http and https access - User based Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
- Voorbeeldresultaat:
2021-12-23 20:58:56,722 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:58:56,722 [INFO] // Performing Data Domain Patching // 2021-12-23 20:58:56,722 [INFO] /////////////////////////////////////////////////////// 2021-12-23 20:58:56,722 [INFO] ------------------------------------------------------ 2021-12-23 20:58:56,722 [INFO] Working on Data Domain Host : 10.60.9.51 for patching 2021-12-23 20:58:56,722 [INFO] ------------------------------------------------------ 2021-12-23 20:58:57,266 [INFO] Found DD version as : 7.6.0.20-689174 2021-12-23 20:58:57,266 [INFO] This version of Data Domain patching involves disabling the UI. Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y Would you like to disable the UI completely? Enter 'y' or 'n':y 2021-12-23 21:02:04,087 [INFO] Disabling GUI http and https access - Completely 2021-12-23 21:02:05,919 [INFO] HTTP Access: disabled 2021-12-23 21:02:05,920 [INFO] GUI http access has been disabled 2021-12-23 21:02:08,507 [INFO] HTTPS Access: disabled 2021-12-23 21:02:08,507 [INFO] GUI https access has been disabled 2021-12-23 21:02:08,509 [INFO] Data Domain patching completed
Zodra de herstelstappen zijn voltooid, biedt LORD een algemene statusbeoordeling:
2021-12-23 21:03:23,782 [INFO] /////////////////////////////////////////////////////// 2021-12-23 21:03:23,782 [INFO] // OVERALL STATUS // 2021-12-23 21:03:23,782 [INFO] /////////////////////////////////////////////////////// 2021-12-23 21:03:23,782 [INFO] OVERALL STATUS +---------------------+-------------------------------------------+ | Product | Patching Status | +---------------------+-------------------------------------------+ | Data Domain | COMPLETED | | ACM | COMPLETED | | DPSearch_X.X.X.X | COMPLETED | | DPCentral | COMPLETED | | DPA | NOT_CONFIGURED_IN_IDPA | | Avamar | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS | | vCenter | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS | +---------------------+-------------------------------------------+
Statusdefinitie bijwerken:
- VOLBRACHT: Deze status geeft aan dat het betreffende onderdeel kwetsbaar was en is bijgewerkt.
- NOT_CONFIGURED_IN_IDPA: Deze status geeft aan dat het betreffende onderdeel niet is geïmplementeerd/geconfigureerd.
- OVERGESLAGEN/NIET VEREIST/VERIFICATIE GESLAAGD: Deze status geeft aan dat het relevante onderdeel is overgeslagen omdat het niet kwetsbaar is voor CVE-2021-44228, OF dat de CVE-2021-44228 geen invloed heeft op de versie van dat relevante onderdeel, of dat het relevante onderdeel al is bijgewerkt.
Richtlijnen voor CVE-2021-45105
- Verificatie bij uitvoering op het System Manager-onderdeel van PowerProtect DP Series Appliance [DPC] toont aan dat het kwetsbaar is voor CVE-2021-44228, maar de getroffen Log4j-bibliotheek wordt niet vermeld of geladen in een service. Daarom is dit een vals positief en kan het veilig worden genegeerd.
- Technische teams werken eraan om te bevestigen of andere componenten in de IDPA worden beïnvloed door CVE-2021-45105.
- Zo ja, dan worden de herstelstappen vrijgegeven in overeenstemming met het beleid van Dell Technologies Security Office.
- Voor CDRA, zie KB: PowerProtect DP serie apparaat en IDPA: Apache Log4j CVE-2021-44228
Subonderdeel: Noodherstel via de cloud
Opmerking: Cloud Disaster Recovery (CDR) binnen PowerProtect DP serie apparaat/IDPA versie 2.7.0 is kwetsbaar voor deze CVE-2021-44228 en CVE-2021-45046.
CDR-versies 19.5 en lager (IDPA-versies 2.6 en lager) zijn niet kwetsbaar en dit Knowledge Base-artikel is niet van toepassing op klanten met deze versies.
CDR-versies 19.5 en lager (IDPA-versies 2.6 en lager) zijn niet kwetsbaar en dit Knowledge Base-artikel is niet van toepassing op klanten met deze versies.
Voor CDRA - On-premise virtuele machine
-
Open SSH naar CDRA VM met behulp van cdr-gebruiker
-
Maak cdra_log4jfix.sh aan in de /tmp/ directory met de volgende inhoud:
- Voer de volgende opdracht uit om het script voor de cdra_log4jfix.sh te maken:
vi /tmp/cdra_log4jfix.sh
- Druk op de I-toets op het toetsenbord om de invoegmodus te openen en kopieer de inhoud zoals hieronder weergegeven.
- Druk op ESC en vervolgens op :wq! om het bestand op te slaan.
#! /bin/sh cdr_backup() { mkdir -p /tmp/cdr_backup cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak } update_executable() { echo "Updating CDRA executable." sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable } update_restore_vm() { echo "Updating restore_vm.jar." cd /home/cdr/cdra/resources/restore zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class } update_cdra_main() { echo "Updating cdra_main.jar." LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar echo "Stopping CDR service." sudo service cdra stop cd /home/cdr/cdra/lib/ mkdir -p BOOT-INF/lib unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION rm -rf BOOT-INF echo "Starting CDR service. This may take a few minutes." sudo service cdra start for i in {1..10} do sleep 30 echo "Checking CDR service status..." RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json") if [[ "$RESP_CODE" == 200 ]]; then echo "CDR service started successfully." return 0 fi done echo "Failed to run CDR service. Please contact Dell Support." exit 1 } main() { CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k) echo "CDR version is : $CDR_VER" if [[ $CDR_VER =~ 19\.[6-9] ]]; then cdr_backup update_executable update_restore_vm update_cdra_main else echo "log4j workaround is required only for CDR versions between 19.6 and 19.9." exit 0 fi rm -rf /tmp/cdr_backup } main
- Voer de volgende opdracht uit om het script voor de cdra_log4jfix.sh te maken:
-
Voer de volgende opdrachten uit om het herstelscript uit te voeren:
dos2unix /tmp/cdra_log4jfix.sh
chmod +x /tmp/cdra_log4jfix.sh
sudo /tmp/cdra_log4jfix.sh
Voor CDRS - geïmplementeerd in de cloud (AWS/AZURE/AWS GOV/AZURE GOV)
Open een serviceaanvraag bij Dell Support en raadpleeg dit artikelnummer 000194520 om de oplossing toe te passen op de CDRS (Cloud Disaster Recovery).
Belangrijk: Sommige beveiligingsscantools die worden uitgevoerd op DPC (System Manager) en CDRA component van PowerProtect DP Series Appliance (IDPA) laten zien dat deze zelfs na herstel kwetsbaar zijn voor CVE-2021-44228, maar de getroffen Log4j-bibliotheek wordt in geen enkele service vermeld of geladen. Dit is dus een vals positief.
Subonderdeel: Avamar Server (beschermingssoftware) en Data Protection Extension
- Avamar Server (beschermingssoftware/back-upserver) is niet kwetsbaar voor CVE-2021-44228 of CVE-2021-45046. Deze kwetsbaarheden zijn specifiek voor de JNDI Lookup-klasse
- Cloud Director Data Protection Extension (indien geconfigureerd) is nog steeds kwetsbaar en de tijdelijke oplossingsstappen die worden vermeld in KB 194480 kunnen worden toegepast op componenten vóór versie 19.4.
- Voor 19.4 vCloud Director Data Protection Extension raden we aan om de hotfix 19.4.0.214_HF.5 toe te passen, zoals beschreven in het gedeelte Herstel. Informatie over de patch vindt u in KB 194480.
Als u de tijdelijke oplossing implementeert die in deze sectie wordt beschreven en vervolgens de Data Protection Extension bijwerkt naar een niet-herstelde versie, moet u de tijdelijke oplossing opnieuw implementeren.
Affected Products
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version: 40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.