PowerProtect DP Serisi cihaz ve IDPA: Apache Log4j CVE-2021-44228

Summary: Bu makalede, PowerProtect DP Serisi Cihazı ve Tümleşik Veri Koruma Cihazı nda (IDPA) "LORD" aracını (Dell için LOg4J Düzeltmesi) kullanarak CVE-2021-44228 Apache Log4j Uzaktan Kod Yürütme sorununu düzeltmeye yönelik otomatik aracın ana hatları yer almaktadır. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

DSA-2021-285: Apache Log4j Uzaktan Kod Yürütme Güvenlik Açığı (CVE-2021-44228) İçin Dell Entegre Veri Koruma Cihazı (PowerProtect DP Serisi) Güvenlik Güncelleştirmesi.

Etki Matrisi

Dell PowerProtect DP Serisi Cihaz
Entegre Veri Koruma Cihazı		 Sürüm Etkilendi mi?
Bileşen v2.3.x v2.4.x v2.5 v2.6.x v2.7.0
vCenter (Hypervisor Yöneticisi) Evet Evet Evet Evet Evet
Data Domain (Koruma Depolama) Hayır Hayır Hayır Hayır Evet
Avamar (Yedekleme Sunucusu/Koruma Yazılımı) Hayır Hayır Hayır Hayır Hayır
Data Protection Central (Sistem Yöneticisi) Evet Evet Evet Evet Evet
Data Protection Search (Arama) Evet Evet Evet Evet Evet
Cloud Disaster Recovery Hayır Hayır Hayır Hayır Evet
Cihaz Yapılandırma Yöneticisi (ACM) Hayır Hayır Hayır Hayır Evet
Data Protection Advisor (DPA/Raporlama ve Analiz) Evet Evet Evet Evet Evet

Kalıcı Çözüm

PowerProtect DP Serisi cihazı ve IDPA'yı sürüm 2.7.2'ye yükseltin

Not: PowerProtect DP Serisi cihaz ve IDPA 2.7.2 sürümü, daha gelişmiş düzeltmeler içeren Log4j 2.17.1 kitaplığına sahiptir (PowerProtect DP Serisi cihazda ve IDPA 2.7.1 sürümünde 2.17 ye kıyasla).

Amaç

Bu geçici çözüm, PowerProtect DP Serisi Cihaz ve Tümleşik Veri Koruma Cihazı (IDPA) için "LORD" otomasyon aracını (LOg4J Dell için Düzeltme) kullanarak CVE-2021-44228 Apache Log4j Uzaktan Kod YürütmeBu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir. sorununu düzeltmeye yöneliktir.

"LORD" otomasyon aracının yürütülmesiyle ilgili bu videoyu izleyin:

Not: Bu adımları tamamlamak için tahmini süre yaklaşık 20 dakika olabilir. Daha fazla yardım için dilediğiniz zaman Dell Desteği ile iletişime geçebilirsiniz.
Not:
  • Bu Dell Knowledge Base makalesi 2.3.x, 2.4.x, 2.5, 2.6.x ve 2.7.0 sürümleri için geçici çözüm düzeltme adımları içerir.
  • Bu KB makalesini başka bir PowerProtect DP Serisi veya IDPA sürümü için kullanmayın.
  • İlgili geçici çözüm makalesi yalnızca CVE-2021-44228'e yöneliktir.
  • Dell Mühendislik ekibi, tüm bileşenlerde CVE-2021-44228 i düzelten PowerProtect DP Series-IDPA sürüm 2.7.1 i yayınladı.
  • Kullanıcı, PowerProtect DP Serisi cihazın veya IDPA'nın düzeltilmemiş bir sürümüne yükseltme yaparsa geçici çözüm adımlarının yeniden uygulanması gerekir.
  • Ekli dosyaları ve araçları görmek için Dell.com/support adresinde oturum açın.
  • Cloud DR bileşeni Düzeltmesi şu anda otomasyon aracında değildir . Bir Cloud DR bileşeni dağıtılırsa sorunu çözme konusunda yardım almak için Dell Desteği ile iletişime geçin.

Etki ve Riskler

İlgili araç, bu sistemi CVE-2021-44228'den korumak için Data Domain'de 2.7.0 sürümünde http ve https'yi devre dışı bırakarak kullanıcı arayüzünü devre dışı bırakabilir. Daha fazla bilgi için aşağıya bakın.

Cihaz üzerinde işlevsel bir etkisi yoktur. Yükseltmelerin etkilenmemesi için PowerProtect DP Serisi Cihaz veya IDPA yükseltmelerinden önce ACM VM'deki değişiklikleri geri alın.

Ön koşullar:

  • LORD aracının en son sürümünü bu makaleden indirin (ekli dosyalar).
  • .zip dosyasını ayıklayın.

Aracı çalıştırma:

CVE-2021-44228 Yama Aracına hoş geldiniz.

  • Bu yardımcı program IDPA, PPDM ve NetWorker dahil ancak bunlarla sınırlı olmamak üzere çeşitli Dell ürünleri için CVE-2021-44228 i güncellemenize yardımcı olur.
  • Özel Not: Araç, tüm dahili bileşenler için düzeltme adımlarını otomatik hale getirir.
  • Aşağıdaki düzeltme ve doğrulama denetimleri de çalıştırılır.
  • Apache'den CVE-2021-45105 ile ilgili tavsiyeler, yeni CVE referans kimlikleri atanan yeni güvenlik açıklarıyla birlikte gelişmeye devam etmektedir. Bu yeni CVE'ler keşfedildiğinde, Dell Technologies in Mühendislik ekipleri gerekli olduğunda etki ve düzeltme adımlarını netleştirir.
  • Bunlar kullanılabilir olduğunda, bu araç bu yeni adımları içerecek şekilde güncellenir.

Adımlar:

  1. WinSCP vb. dosya aktarım yazılımlarını kullanarak "lord_vX" aracını ACM deki "/tmp" dizinine kopyalayın.

    Not: "X" dosya adındaki bir karakter, RAB aracının sürümünü belirtir. Örneğin, "lord_v7".

  2. Cihaz Yapılandırma Yöneticisi (ACM) sunucusunda SSH oturumu açın ve "kök" kullanıcı olarak oturum açın.

    cd /tmp

  3. Yürütülebilir izinler sağlamak için aşağıdaki komutu çalıştırın:

    chmod +x /tmp/lord_vX

  4. LORD aracını çalıştırmak için aşağıdaki komutu çalıştırın:

    ./tmp/lord_vX

  5. İstemleri izleyin.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    Düzeltme Ana Menüsündeki örnek çıktı:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

Düzeltme adımlarını tüm bileşenlere uygulamak için Seçenek #1'i seçin.

Önemli: Düzeltmeyi Data Domain'e (Koruma Depolaması) uygularken http ve https'yi devre dışı bırakmanız istenir (Yalnızca IDPA sürüm 2.7.0'da bulunur).
  • No" seçildiğinde Data Domain düzeltmesi şimdilik atlanır. Başka bir seçenek de KB başına Minimum Kesintiye Neden Olan Yükseltmeyi (MDU) uygulamaktır : 194425 (Bu makaleyi görüntülemek için bir Dell Destek hesabı gereklidir)
    Not: Data Domain (Koruma Depolama) Kod Yükseltmesi gerçekleştirmeyin. PowerProtect DP Serisi Cihaz (IDPA) için yalnızca Minimum Kesintiyle Yükseltmeye (MDU) izin verilir
  • Kullanıcı arayüzünü otomatik hale getirilmiş iş akışına göre devre dışı bırakmak isterseniz "Yes" (Evet) öğesini seçebilirsiniz 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • Erişimi sınırlamak istediğiniz IP adresini veya Ana Bilgisayarı seçmeyi de seçebilirsiniz: 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • Örnek Çıktı: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

Düzeltme adımları tamamlandıktan sonra LORD, Genel Durum İncelemesi sağlar:

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Durum Tanımı Güncelleniyor:

  • TAMAMLANDI: Bu durum, ilgili bileşenin güvenlik açığından etkilendiğini ve güncellendiğini belirtir.
  • NOT_CONFIGURED_IN_IDPA (IDPA'DA YAPILANDIRILMADI): Bu durum, ilgili bileşenin dağıtılmadığını/yapılandırılmadığını belirtir.
  • SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS (ATLANDI/GEREKLİ DEĞİL/DOĞRULAMA BAŞARILI): Bu durum, ilgili bileşenin CVE-2021-44228'e karşı savunmasız olmadığı VEYA CVE-2021-44228'in ilgili bileşenin sürümünü etkilemediği veya ilgili bileşenin zaten güncellenmiş olduğu için atlandığını gösterir.

CVE-2021-45105 Rehberi

  • PowerProtect DP Serisi Cihazın [ DPC ] System Manager bileşeninde çalıştırıldığında yapılan doğrulama, cihazın CVE-2021-44228 için güvenlik açığı içerdiğini ancak etkilenen Log4j kitaplığından hiçbir hizmette bahsedilmediğini veya yüklenmediğini gösterir. Dolayısıyla bu yanlış pozitiftir ve güvenle göz ardı edilebilir.
  • Mühendislik ekipleri, IDPA'daki diğer bileşenlerin CVE-2021-45105'ten etkilenip etkilenmediğini doğrulamak için çalışıyor.
  • Böyle durumlarda, Dell Technologies Güvenlik Ofisi politikasına uygun olarak düzeltme adımları yayınlanır.
  • CDRA için bkz. KB: PowerProtect DP Serisi cihaz ve IDPA: Apache Log4j CVE-2021-44228

Alt bileşen: Cloud Disaster Recovery

Not: PowerProtect DP Serisi Cihaz/IDPA sürüm 2.7.0 içindeki Cloud Disaster Recovery (CDR), bu CVE-2021-44228 ve CVE-2021-45046 ya karşı savunmasızdır.
CDR sürüm 19.5 ve altı (IDPA sürüm 2.6 ve altı) bu güvenlik açığından etkilenmez ve bu Knowledge Base makalesi bölümü, bu sürümlerdeki müşteriler için geçerli değildir.

CDRA için - Şirket içi sanal makine

  1. cdr kullanıcısını kullanarak SSH'den CDRA VM ye açın

  2. /tmp/ dizininde aşağıdaki içeriğe sahip bir cdra_log4jfix.sh oluşturun:

    • cdra_log4jfix.sh komut dosyasını oluşturmak için aşağıdaki komutu çalıştırın: 
      vi /tmp/cdra_log4jfix.sh
    • Ekleme moduna girmek ve içeriği aşağıda verilen şekilde kopyalamak için klavyede I tuşuna basın.
    • ESC tuşuna basın, ardından :wq! dosyayı kaydetmek için 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. Düzeltme komut dosyasını gerçekleştirmek için aşağıdaki komutları çalıştırın:

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

CDRS için: Bulutta dağıtılır (AWS/AZURE/AWS GOV/AZURE GOV)
Dell Destek ekibi ile bir Servis İsteği açın ve düzeltmeyi CDRS'ye (Bulut Olağanüstü Durum Kurtarma) uygulamak için 000194520 numaralı makaleye bakın.

Önemli: PowerProtect DP Serisi Cihazın (IDPA) DPC (System Manager) ve CDRA bileşeni üzerinde çalıştırıldığında bazı güvenlik taraması araçları, düzeltmeden sonra bile CVE-2021-44228 için savunmasız olduğunu ancak etkilenen Log4j kitaplığından herhangi bir hizmette adının geçmediğini veya yüklenmediğini gösterir. Dolayısıyla bu yanlış bir pozitiftir.

Alt bileşen: Avamar Server (Koruma Yazılımı) ve Data Protection Uzantısı

  • Avamar Server (Koruma Yazılımı/Yedekleme Sunucusu), CVE-2021-44228 veya CVE-2021-45046'ya karşı savunmasız değildir. Bu güvenlik açıkları, yalnızca log4j-core jar dosyasında bulunan JNDI Lookup sınıfınaBu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir. özgüdür. Avamar Server, jog4j-core jar dosyasını yüklemez. Müşteriler log4j sürümünü 2.16'ya güncellemeye devam etmek isterse PowerProtect DP Serisi Cihaz (IDPA) sürüm 2.7.1 e yükseltme yapılabilir. Bu güncelleştirme, güvenlik tarama araçları tarafından yapılan yanlış pozitif bildirimleri önleyebilir.
  • Cloud Director Data Protection Extension (yapılandırılmışsa) hala güvenlik açığından etkilenmektedir ve KB 194480 de belirtilen geçici çözüm adımları 19.4 sürümünden önceki Data Protection Extension bileşenlerine uygulanabilir.
  • 19.4 vCloud Director Data Protection Uzantısı için Düzeltme bölümünde açıklandığı üzere 19.4.0.214_HF.5 düzeltmesini uygulamanızı öneririz. Yama ayrıntıları KB 194480 de bulunabilir.

Bu bölümde açıklanan geçici çözüm adımlarını uygular ve ardından Veri Koruma Uzantısı'nı düzeltilmemiş bir sürüme yükseltirseniz, geçici çözüm adımlarını yeniden uygulamanız gerekir.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.