PowerProtect DP Series 어플라이언스 및 IDPA: Apache Log4j CVE-2021-44228

Summary: 이 문서에서는 PowerProtect DP Series 어플라이언스 및 IDPA(Integrated Data Protection Appliance)에서 "LORD" 툴(Dell용 LOg4J 문제 해결)을 사용하여 CVE-2021-44228 Apache Log4j 원격 코드 실행 문제를 해결하는 자동화 툴에 대해 간략하게 설명합니다. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

DSA-2021-285: Apache Log4j 원격 코드 실행 취약성(CVE-2021-44228)에 대한 Dell Integrated Data Protection Appliance(PowerProtect DP Series) 보안 업데이트.

영향 매트릭스

Dell PowerProtect DP Series 어플라이언스
통합 데이터 보호 어플라이언스		 버전이 영향을 받습니까?
구성 요소 v2.3.x v2.4.x v2.5 v2.6.x v2.7.0
vCenter(하이퍼바이저 관리자)
Data Domain(보호 스토리지) No No No No
Avamar(백업 서버/보호 소프트웨어) No No No No No
Data Protection Central(System Manager)
Data Protection Search(검색)
클라우드 재해 복구 No No No No
ACM(Appliance Configuration Manager) No No No No
Data Protection Advisor(DPA/보고 및 분석)

영구 수정

PowerProtect DP Series Appliance 및 IDPA 버전 2.7.2로 업그레이드

참고: PowerProtect DP Series 어플라이언스 및 IDPA 2.7.2 릴리스에는 고급 수정 사항이 있는 Log4j 2.17.1 라이브러리(PowerProtect DP Series 어플라이언스 및 IDPA 버전 2.7.1의 경우 2.17과 비교)가 있습니다.

목적

이 해결 방법은 PowerProtect DP Series 어플라이언스 및 IDPA(Integrated Data Protection Appliance)에 대해 "LORD" 자동화 툴(Dell용 LOg4J 문제 해결)을 사용하여 CVE-2021-44228 Apache Log4j 원격 코드 실행이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다. 문제를 해결하기 위한 것입니다.

"LORD" 자동화 툴 실행에 대한 다음 비디오를 시청하십시오.

참고: 이러한 단계를 실행하는 데 소요되는 예상 시간은 약 20분입니다. 언제든지 Dell 지원 팀에 문의하여 추가 지원을 받을 수 있습니다.
참고:
  • 이 Dell 기술 자료 문서에는 버전 2.3.x, 2.4.x, 2.5, 2.6.x 및 2.7.0에 대한 해결 방법 수정 단계가 포함되어 있습니다.
  • 다른 PowerProtect DP Series 또는 IDPA 버전에는 이 KB 문서를 사용하지 마십시오.
  • 이 해결 방법 문서는 CVE-2021-44228만 해결합니다.
  • Dell Engineering은 모든 구성 요소의 CVE-2021-44228을 수정하는 PowerProtect DP Series-IDPA 버전 2.7.1을 출시했습니다.
  • 사용자가 문제가 해결되지 않은 버전의 PowerProtect DP Series 어플라이언스 또는 IDPA로 업그레이드하는 경우 해결 방법 단계를 다시 적용해야 합니다.
  • 첨부된 파일 및 툴을 보려면 Dell.com/support 로그인해야 합니다.
  • Cloud DR 구성 요소 문제 해결은 현재 자동화 툴에 없습니다 . Cloud DR 구성 요소가 배포된 경우 Dell 지원에 문의하여 도움을 받으십시오.

영향 및 위험

이 툴은 CVE-2021-44228에서 해당 시스템을 보호하기 위해 버전 2.7.0의 Data Domain에서 http 및 https를 비활성화하여 UI를 사용하지 않도록 설정할 수 있습니다. 자세한 내용은 아래를 참조하십시오.

어플라이언스의 기능에는 영향을 미치지 않습니다. 업그레이드에 영향을 미치지 않도록 PowerProtect DP Series 어플라이언스 또는 IDPA 업그레이드 전에 ACM VM의 변경 사항을 실행 취소합니다.

필수 구성 요소:

  • 이 문서(첨부 파일)에서 최신 버전의 LOAD 툴을 다운로드하십시오.
  • .zip 파일을 압축 해제합니다.

툴 실행:

CVE-2021-44228 패치 툴 설명을 시작합니다.

  • 이 유틸리티는 IDPA, PPDM 및 NetWorker를 포함하되 이에 국한되지 않는 여러 Dell 제품의 CVE-2021-44228을 업데이트하는 데 도움이 됩니다.
  • 특별 참고: 이 툴은 모든 내부 구성 요소에 대한 문제 해결 단계를 자동화합니다.
  • 다음 문제 해결 및 검증 검사도 실행됩니다.
  • CVE-2021-45105에 대한 Apache의 조언은 새로운 취약점에 새로운 CVE 참조 ID가 할당됨에 따라 계속 진화하고 있습니다. 이러한 새로운 CVE가 발견됨에 따라 Dell Technologies의 엔지니어링 팀은 필요한 경우 영향과 문제 해결 단계를 명확히 합니다.
  • 이러한 단계를 사용할 수 있게 되면 이러한 새로운 단계를 포함하도록 이 도구가 업데이트됩니다.

단계:

  1. WinSCP와 같은 파일 전송 소프트웨어를 사용하여 "lord_vX" 툴을 ACM의 "/tmp" 디렉토리에 복사합니다.

    참고: 파일 이름 "X"의 문자는 LORD 도구의 버전 관리를 나타냅니다. 예: "lord_v7."

  2. ACM(Appliance Configuration Manager) 서버에 대한 SSH를 열고 'root' 사용자로 로그인합니다.

    cd /tmp

  3. 다음 명령을 실행하여 실행 가능한 권한을 제공합니다.

    chmod +x /tmp/lord_vX

  4. 다음 명령을 실행하여 LORD 툴을 실행합니다.

    ./tmp/lord_vX

  5. 프롬프트를 따릅니다.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    문제 해결 메인 메뉴의 샘플 출력:

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

옵션 #1을 선택하여 모든 구성 요소에 문제 해결 단계를 적용합니다.

중요: 수정 사항을 Data Domain(보호 스토리지)에 적용할 때 http 및 https(IDPA 버전 2.7.0에만 있음)를 비활성화하라는 메시지가 표시됩니다.
  • "No"를 선택하면 Data Domain 문제 해결을 건너뜁니다. 또 다른 옵션은 KB에 따라 MDU(Minimum Disruptive Upgrade)를 적용하는 것입니다. 194425 (이 문서를 보려면 Dell 지원 계정 필요)
    참고: Data Domain(보호 스토리지) 코드 업그레이드를 수행하지 마십시오. PowerProtect DP Series Appliance(IDPA)에는 MDU(Minimum Disruptive Upgrade)만 허용됩니다.
  • 자동화된 워크플로에 따라 UI를 비활성화하려면 "Yes"를 선택합니다. 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • 액세스를 제한할 IP 주소 또는 호스트를 선택할 수도 있습니다. 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • 샘플 출력: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

문제 해결 단계가 완료되면, LORD는다음 사항에 대해 전반적인 상태 검토를 제공합니다.

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

상태 정의 업데이트:

  • 완료: 이 상태는 관련 구성 요소가 취약했고 업데이트되었음을 나타냅니다.
  • NOT_CONFIGURED_IN_IDPA: 이 상태는 관련 구성 요소가 전개/구성되지 않았음을 나타냅니다.
  • SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS: 이 상태는 관련 구성 요소가 CVE-2021-44228에 취약하지 않거나, CVE-2021-44228이 관련 구성 요소의 버전에 영향을 주지 않거나, 관련 구성 요소가 이미 업데이트되어 건너뛰었음을 나타냅니다.

CVE-2021-45105 지침

  • PowerProtect DP Series 어플라이언스[DPC]의 System Manager 구성 요소에서 실행 시 CVE-2021-44228에 취약한 것으로 확인되지만 영향을 받는 Log4j 라이브러리가 어떤 서비스에서도 언급되거나 로드되지 않는 것으로 나타났습니다. 따라서 이것은 거짓 양성이며 무시해도 됩니다.
  • 엔지니어링 팀은 IDPA의 다른 구성 요소가 CVE-2021-45105의 영향을 받는지 확인하기 위해 노력하고 있습니다.
  • 이 경우 Dell Technologies Security Office 정책에 따라 문제 해결 단계가 릴리스됩니다.
  • CDRA의 경우 KB: PowerProtect DP Series 어플라이언스 및 IDPA: Apache Log4j CVE-2021-44228

하위 구성 요소: 클라우드 재해 복구

참고: PowerProtect DP Series 어플라이언스/IDPA 버전 2.7.0 내의 CDR(Cloud Disaster Recovery)은 이 CVE-2021-44228 및 CVE-2021-45046에 취약합니다.
CDR 버전 19.5 이하(IDPA 버전 2.6 이하)는 취약하지 않으며 이 기술 자료 문서 섹션은 이러한 버전을 사용하는 고객에게 적용되지 않습니다.

CDRA의 경우 - 온프레미스 가상 머신

  1. cdr 사용자를 사용하여 CDRA VM에 대한 SSH를 엽니다.

  2. 다음 콘텐츠로 /tmp/ 디렉토리에 cdra_log4jfix.sh 생성합니다.

    • 다음 명령을 실행하여 cdra_log4jfix.sh 스크립트를 생성합니다. 
      vi /tmp/cdra_log4jfix.sh
    • 키보드의 I 키를 눌러 삽입 모드로 들어가 아래와 같이 내용을 복사합니다.
    • ESC 키를 누른 다음 :wq! 을 클릭하여 파일을 저장합니다. 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. 다음 명령을 실행하여 문제 해결 스크립트를 수행합니다.

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

CDRS의 경우 - 클라우드(AWS/AZURE/AWS GOV/AZURE GOV)
에 배포Dell 지원을 통해 서비스 요청을 열고 CDRS(Cloud Disaster Recovery)에 수정 사항을 적용하려면 000194520 문서 번호를 참조하십시오.

중요: DPC(System Manager) 및 PowerProtect DP Series Appliance (IDPA)의 CDRA 구성 요소에서 일부 보안 확인 툴을 실행하면 문제 해결 후에도 CVE-2021-44228에 대해 취약한 것으로 표시되지만 영향을 받는 Log4j 라이브러리가 언급되거나 서비스에서 로드되지 않습니다. 따라서 이것은 거짓 긍정입니다.

하위 구성 요소: Avamar Server(보호 소프트웨어) 및 Data Protection Extension

  • Avamar Server(보호 소프트웨어/백업 서버)는 CVE-2021-44228 또는 CVE-2021-45046에 취약하지 않습니다. 이러한 취약점은 log4j-core jar 파일에만 존재하는 JNDI 조회 클래스이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다. 에만 해당됩니다. Avamar Server는 jog4j-core jar 파일을 설치하지 않습니다. 고객이 log4j 버전을 2.16으로 업데이트하려는 경우 IDPA(PowerProtect DP Series Appliance) 버전 2.7.1로 업그레이드할 수 있습니다. 이 업데이트는 보안 검사 툴을 통해 거짓 양성 알림을 방지할 수 있습니다.
  • Cloud Director Data Protection Extension(구성된 경우)은 여전히 취약하며 KB 194480 에 언급된 해결 방법 단계를 버전 19.4 이전의 Data Protection Extension 구성 요소에 적용할 수 있습니다.
  • 19.4 vCloud Director Data Protection Extension의 경우 문제 해결 섹션의 설명에 따라 19.4.0.214_HF.5 핫픽스를 적용하는 것이 좋습니다. 패치 세부 정보는 KB 194480에서 확인할 수 있습니다.

이 섹션에 설명된 해결 방법 단계를 구현한 다음 Data Protection 확장을 수정되지 않은 버전으로 업그레이드하는 경우 해결 방법 단계를 다시 구현해야 합니다.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.