Устройства PowerProtect DP Series и IDPA. Apache Log4j CVE-2021-44228

Summary: В этой статье описывается автоматизированный инструмент для устранения уязвимости CVE-2021-44228 Apache Log4j, которая вызывала удаленное выполнение кода с помощью инструмента LORD (LOg4J Remediation for Dell) в устройствах PowerProtect серии DP и IDPA (Integrated Data Protection Appliance). ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

DSA-2021-285: Обновление системы безопасности Dell Integrated Data Protection Appliance (PowerProtect серии DP) для уязвимости Apache Log4j, делающей возможным удаленное выполнение кода (CVE-2021-44228).

Таблица влияния

Устройство
Dell PowerProtect DP Series Integrated Data Protection Appliance		 Затронута ли версия?
Компонент v2.3.x v2.4.x v2.5 v2.6.x v2.7.0
vCenter (Hypervisor Manager) Да Да Да Да Да
Data Domain (платформа защиты данных) Нет Нет Нет Нет Да
Avamar (сервер резервного копирования/ПО для защиты данных) Нет Нет Нет Нет Нет
Data Protection Central (System Manager) Да Да Да Да Да
Data Protection Search (поиск) Да Да Да Да Да
Cloud Disaster Recovery Нет Нет Нет Нет Да
Appliance Configuration Manager (ACM) Нет Нет Нет Нет Да
Data Protection Advisor (DPA/отчетность и аналитика) Да Да Да Да Да

Окончательное решение

Выполните модернизацию устройства PowerProtect DP Series или IDPA до версии 2.7.2

Примечание. Устройство PowerProtect серии DP и IDPA 2.7.2 содержит библиотеку Log4j 2.17.1 (по сравнению с 2.17 в устройствах PowerProtect DP Series и IDPA версии 2.7.1), которая содержит дополнительные исправления.

Цель

Это временное решение предназначено для устранения CVE-2021-44228, делающей возможным удаленное выполнение Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.кода Apache Log4j с помощью средства автоматизации LORD (LOg4J Remediation for Dell) для устройств PowerProtect серии DP и Integrated Data Protection Appliance (IDPA).

Посмотрите это видео о работе инструмента автоматизации "LORD":

Примечание. Расчетное время выполнения этих действий может составлять около 20 минут. Для получения дополнительной помощи вы можете в любое время обратиться в службу поддержки Dell.
Примечание.
  • В этой статье базы знаний Dell описаны шаги по временному решению проблемы для версий 2.3.x, 2.4.x, 2.5, 2.6.x и 2.7.0.
  • Не используйте эту статью базы знаний для любой другой версии PowerProtect DP Series или IDPA.
  • Эта статья подходит для временного решения только CVE-2021-44228.
  • Технические специалисты Dell выпустили PowerProtect IDPA IDPA серии DP версии 2.7.1, которая исправляет CVE-2021-44228 на всех компонентах.
  • Если пользователь выполняет модернизацию до неисправленной версии устройства PowerProtect серии DP или IDPA, необходимо повторно применить временное решение.
  • Для просмотра вложенных файлов и инструментов войдите на сайт Dell.com/support
  • Cloud DR Component Remediation в настоящее время не находится в средстве автоматизации. Если развернут компонент Cloud DR, обратитесь в службу поддержки Dell за помощью для устранения проблемы.

Влияние и риски

Этот инструмент может отключить http и https в системе Data Domain версии 2.7.0 для защиты этой системы от CVE-2021-44228, отключив пользовательский интерфейс. Дополнительные сведения см. ниже.

Это не влияет на функциональность устройства. Чтобы избежать влияния на обновления, отмените изменения на виртуальной машине ACM перед модернизацией устройства PowerProtect серии DP или IDPA.

Необходимые условия

  • Скачайте последнюю версию инструмента LORD из этой статьи (прикрепленные файлы).
  • Извлеките файл .zip.

Запуск инструмента.

Добро пожаловать в инструмент исправления CVE-2021-44228.

  • Эта утилита помогает обновить CVE-2021-44228 для нескольких продуктов Dell, включая, в частности, IDPA, PPDM и NetWorker.
  • Особое примечание. Этот инструмент автоматизирует этапы восстановления для всех внутренних компонентов.
  • Также выполняются проверки после устранения проблем и подтверждения.
  • Рекомендации Apache относительно CVE-2021-45105 продолжают развиваться, и новым уязвимостям присваиваются новые идентификаторы CVE. По мере обнаружения этих новых CVE технические специалисты Dell Technologies уточняют последствия и шаги по их устранению, если это необходимо.
  • Когда эти функции станут доступны, этот инструмент будет обновлен и будет включать эти новые шаги.

Действия

  1. Скопируйте инструмент «lord_vX» на ACM в каталог «/tmp», используя программное обеспечение для передачи файлов, например WinSCP, и т. д.

    Примечание. Символ в имени файла "X" обозначает версию инструмента LORD. Например, «lord_v7».

  2. Откройте подключение SSH к серверу Appliance Configuration Manager (ACM) и войдите в систему как пользователь «root».

    cd /tmp

  3. Выполните следующую команду, чтобы предоставить разрешения исполняемого файла.

    chmod +x /tmp/lord_vX

  4. Выполните следующую команду, чтобы запустить инструмент LORD:

    ./tmp/lord_vX

  5. Следуйте подсказкам.

    acm5800:/tmp # ./tmp/lord_v9
sh: /tmp/_MEIFMNULP/libreadline.so.6: no version information available (required by sh)
2021-12-23 20:54:22,399 [INFO]  SESSION STARTED
2021-12-23 20:54:22,400 [INFO]  Logging everything to : lord.log
Session Start Time : 2021-12-23 20:54
-------------------------------------------------
-------------------------------------------------
            PowerProtect CVE-2021-44228 Patcher 5.0
      Developer : Pankaj Pande(p.pande@dell.com)
           Release : 21 Dec 2021
-------------------------------------------------
Welcome to CVE-2021-44228 Patching Tool.
This utility will assist you in patching CVE-2021-44228 for several Dell products including but not limited to IDPA, PPDM and NetWorker.
Special Note : The tool automates remediation steps for all internal components. Following remediation, validation checks are also run. Advice from Apache regarding CVE-2021-45105 continues to evolve, with new vulnerabilities being assigned new CVE reference id's.  As these new CVEs are discovered, Dell Technologies' Engineering teams will clarify impact and remediation steps where necessary.  When these are available, this tool will be updated to include these new steps
-------------------------------------------------
2021-12-23 20:54:22,403 [INFO]  Starting Build : 5.0
2021-12-23 20:54:22,403 [INFO]  Using ACM IP as : 10.10.10.99. If you would like to use a different IP, then use the -a flag and specify a different host IP or DNS name
Enter the ACM Password :
Are you using a common password(for all point products) which is same as ACM ? Enter 'y' or 'n' :

    Пример выходных данных из главного меню восстановления.

    2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  ///                  Main Menu                      ///
2021-12-23 20:54:34,972 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:54:34,972 [INFO]  -------------------------------------------------
Select how would you like to proceed :

1) Apply workaround for PowerProtect DP Series Appliance/IDPA [All components]
2) Apply workaround for vCenter
3) Apply workaround for Data Domain
4) Apply workaround for Avamar
5) Apply workaround for DPSearch
6) Apply workaround for ACM
7) Apply workaround for DPC
9) Exit the Program

Enter your choice number :

Выберите Option #1, чтобы применить действия по исправлению ко всем компонентам.

Важно! При применении исправления к Data Domain (Protection Storage) вам будет предложено отключить http и https (встречается только в IDPA версии 2.7.0).
  • Если выбрать «Нет», исправление Data Domain пока пропускается. Другой вариант — применить минимально нарушающее обновление (MDU), как указано в статье базы знаний: 194425 (для просмотра этой статьи требуется учетная запись службы поддержки Dell)
    Примечание. Не выполняйте модернизацию кода Data Domain (Protection Storage). Для устройств PowerProtect DP Series (IDPA) разрешена только модернизация с минимальным прерыванием работы (MDU).
  • Если вы хотите отключить пользовательский интерфейс в соответствии с автоматизированным рабочим процессом, выберите «Да». 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':Yes
  • Вы также можете выбрать, к какому IP-адресу или хосту вы хотите ограничить доступ: 
    Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':n
2021-12-23 21:15:48,365 [INFO]  Disabling GUI http and https access - User based
Enter the list of hostnames or IP-addresses that you would like to give access to(comman-seperated)(eg: 10.118.162.70,10.118.161.130) :
  • Пример вывода: 
    2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  //        Performing Data Domain Patching            //
2021-12-23 20:58:56,722 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:56,722 [INFO]  Working on Data Domain Host : 10.60.9.51 for patching
2021-12-23 20:58:56,722 [INFO]  ------------------------------------------------------
2021-12-23 20:58:57,266 [INFO]  Found DD version as : 7.6.0.20-689174
2021-12-23 20:58:57,266 [INFO]  This version of Data Domain patching involves disabling the UI.
Are you ready to disable the DD UI? If you say yes then you will see another prompt to either disable the UI completely or allow certain users to have access. Enter 'y/Yes/YES' or 'n/No/NO':y
Would you like to disable the UI completely? Enter 'y' or 'n':y
2021-12-23 21:02:04,087 [INFO]  Disabling GUI http and https access - Completely
2021-12-23 21:02:05,919 [INFO]  HTTP Access:    disabled

2021-12-23 21:02:05,920 [INFO]  GUI http access has been disabled
2021-12-23 21:02:08,507 [INFO]  HTTPS Access:   disabled

2021-12-23 21:02:08,507 [INFO]  GUI https access has been disabled
2021-12-23 21:02:08,509 [INFO]  Data Domain patching completed

После выполнения этапов исправления LORD предоставляет общий обзор состояния:

2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  //               OVERALL STATUS                   //
2021-12-23 21:03:23,782 [INFO]  ///////////////////////////////////////////////////////
2021-12-23 21:03:23,782 [INFO]  OVERALL STATUS
+---------------------+-------------------------------------------+
| Product             | Patching Status                           |
+---------------------+-------------------------------------------+
| Data Domain         | COMPLETED                                 |
| ACM                 | COMPLETED                                 |
| DPSearch_X.X.X.X    | COMPLETED                                 |
| DPCentral           | COMPLETED                                 |
| DPA                 | NOT_CONFIGURED_IN_IDPA                    |
| Avamar              | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
| vCenter             | SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS |
+---------------------+-------------------------------------------+

Определение состояния обновления:

  • ЗАВЕРШЁННЫЙ: Это состояние указывает, что соответствующий компонент был уязвим и был обновлен.
  • NOT_CONFIGURED_IN_IDPA: это состояние указывает на то, что соответствующий компонент не развернут/не сконфигурирован.
  • SKIPPED/NOT REQUIRED/VERIFICATION SUCCESS: Это состояние означает, что соответствующий компонент был пропущен, поскольку он не уязвим к CVE-2021-44228, ИЛИ CVE-2021-44228 не влияет на версию соответствующего компонента, или соответствующий компонент уже был обновлен.

Руководство по CVE-2021-45105

  • Проверка при запуске компонента System Manager устройства PowerProtect DP Series [ DPC ] показывает, что он уязвим для CVE-2021-44228, но затронутая библиотека Log4j не упоминается и не загружается ни в одной службе. Следовательно, это ложноположительный результат, который можно игнорировать.
  • Инженерные команды выясняют, влияет ли CVE-2021-45105 на другие компоненты в IDPA.
  • Если это так, то в соответствии с политикой Dell Technologies Security Office принимаются соответствующие меры.
  • Для CDRA см. статью базы знаний: Устройства PowerProtect DP Series и IDPA. Apache Log4j CVE-2021-44228

Подкомпонент: Cloud Disaster Recovery

Примечание. Cloud Disaster Recovery (CDR) в устройствах PowerProtect серии DP/IDPA версии 2.7.0 уязвим к этим уязвимостям CVE-2021-44228 и CVE-2021-45046.
CDR версии 19.5 и ниже (IDPA версии 2.6 и ниже) не уязвимы, и этот раздел статьи базы знаний не относится к заказчикам этих версий.

Для CDRA — локальная виртуальная машина

  1. Откройте SSH на виртуальную машину CDRA с помощью пользователя cdr

  2. Создайте cdra_log4jfix.sh в каталоге /tmp/ со следующим содержимым:

    • Выполните следующую команду, чтобы создать сценарий cdra_log4jfix.sh: 
      vi /tmp/cdra_log4jfix.sh
    • Нажмите клавишу I на клавиатуре, чтобы войти в режим вставки, и скопируйте содержимое, как указано ниже.
    • Нажмите ESC, затем :wq! , чтобы сохранить файл. 
      #! /bin/sh
cdr_backup()
{
  mkdir -p /tmp/cdr_backup
  cp /home/cdr/cdra/lib/cdra_main.jar /tmp/cdr_backup/cdra_main.jar.bak
  cp /home/cdr/cdra/resources/restore/restore_vm.jar /tmp/cdr_backup/restore_vm.jar.bak
}
update_executable()
{
  echo "Updating CDRA executable."
  sed -i 's/=CDRS/=CDRS -Dlog4j2.formatMsgNoLookups=true/g' /home/cdr/cdra/executable
}
update_restore_vm()
{
  echo "Updating restore_vm.jar."
  cd /home/cdr/cdra/resources/restore
  zip -q -d restore_vm.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -q -d restore_vm.jar shadow/org/apache/logging/log4j/core/lookup/JndiLookup.class
}
update_cdra_main()
{
  echo "Updating cdra_main.jar."
  LOG4J_JAR_FILE_LOCATION=BOOT-INF/lib/log4j-core-2.13.2.jar
  echo "Stopping CDR service."
  sudo service cdra stop
  cd /home/cdr/cdra/lib/
  mkdir -p BOOT-INF/lib
  unzip -p cdra_main.jar $LOG4J_JAR_FILE_LOCATION > $LOG4J_JAR_FILE_LOCATION
  zip -q -d $LOG4J_JAR_FILE_LOCATION org/apache/logging/log4j/core/lookup/JndiLookup.class
  zip -u -0 -n *.jar cdra_main.jar $LOG4J_JAR_FILE_LOCATION
  rm -rf BOOT-INF
  echo "Starting CDR service. This may take a few minutes."
  sudo service cdra start
  for i in {1..10}
  do
    sleep 30
    echo "Checking CDR service status..."
    RESP_CODE=$(curl -kfsL -o /dev/null -w '%{http_code}' -X GET https://localhost/rest/cdr-version -H "accept: application/json")
    if [[ "$RESP_CODE" == 200 ]]; then
      echo "CDR service started successfully."
      return 0
    fi
  done
  echo "Failed to run CDR service. Please contact Dell Support."
  exit 1
}
main()
{
   CDR_VER=$(curl -s -X GET https://localhost/rest/cdr-version -H "accept: application/json" -k)
   echo "CDR version is : $CDR_VER"
   if [[ $CDR_VER =~ 19\.[6-9] ]]; then
      cdr_backup
      update_executable
      update_restore_vm
      update_cdra_main
    else
      echo "log4j workaround is required only for CDR versions between 19.6 and 19.9."
      exit 0
    fi
    rm -rf /tmp/cdr_backup
}
main

  3. Выполните следующие команды для выполнения сценария исправления:

    dos2unix /tmp/cdra_log4jfix.sh
    chmod +x /tmp/cdra_log4jfix.sh
    sudo /tmp/cdra_log4jfix.sh

Для CDRS — развертывание в облаке (AWS/AZURE/AWS GOV/AZURE GOV)
Откройте сервисную заявку в службе поддержки Dell и ознакомьтесь с номером этой статьи 000194520, чтобы применить исправление к CDR (Cloud Disaster Recovery).

Важно! Некоторые инструменты проверки безопасности при запуске в DPC (System Manager) и компоненте CDRA устройства PowerProtect DP Series (IDPA) показывают, что они уязвимы для CVE-2021-44228 даже после исправления, но затронутая библиотека Log4j не упоминается и не загружается ни в какую службу. Следовательно, это ложное срабатывание.

Подкомпонент: Сервер Avamar (ПО для защиты данных) и Data Protection Extension

  • Сервер Avamar (ПО для защиты данных/сервер резервного копирования) не подвержен уязвимости CVE-2021-44228 или CVE-2021-45046. Эти уязвимости специфичны для класса Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.JNDI Lookup, который существует только в jar-файле log4j-core. Сервер Avamar не устанавливает jar-файл log4j-core. Обновление до устройства PowerProtect DP Series (IDPA) версии 2.7.1 можно выполнить, если заказчик все же хочет обновить log4j до версии 2.16. Это обновление может предотвратить получение ложноположительных уведомлений средствами проверки безопасности.
  • Cloud Director Data Protection Extension (если он настроен) по-прежнему уязвим, и временное решение, упомянутое в статье базы знаний 194480 , можно применить к компонентам Data Protection Extension до версии 19.4.
  • Для расширения vCloud Director Data Protection Extension 19.4 рекомендуется применить исправление 19.4.0.214_HF.5, как описано в разделе «Восстановление». Подробные сведения об исправлении можно найти в статье базы знаний 194480.

Если вы реализуете временное решение, описанное в этом разделе, а затем модернизируете Data Protection Extension до версии, которая не будет исправлена, вам потребуется повторно реализовать обходной путь.

 

Affected Products

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
Article Properties
Article Number: 000194520
Article Type: How To
Last Modified: 09 Jul 2025
Version:  40
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.